Showing posts with label sans. Show all posts
Showing posts with label sans. Show all posts

Wednesday, December 26, 2012

The Value of Branding and Simplicity to Certifications

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of stirring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber pot (item 3, specifically) I wanted to post a response to a great mailing list thread I've been following. A reader asked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP certification. Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mailing list, several responders cited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts on SANS certifications. Many mentioned why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP tends to be so popular. I'd like to share my thoughts here.

In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP is so successful is that it is easy to understand it, which facilitates marketing it. It is exceptionally easy for a recruiter to search LinkedIn profiles, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r databases, or resumes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "CISSP." If you encounter a person with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP, you basically know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person had to do to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification.

Before continuing, answer this quick question: what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following? 1) SSCP, 2) CAP, 3) CSSLP?

Let me guess -- you didn't recognize any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, just like I did?

Now, let me see if you recognize any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following? 1) GGSC-0400, 2) GNET, 3) GAWN-C, 4) GBLC, 5) GCIM?

I believe you didn't recognize any of those eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

How about? 1) GISP, 2) GLEG, 3) GCIH, 4) GAWN?

I'm guessing some of you might recognize GCIH as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS "GIAC Certified Incident Handler," which actually doesn't have much to do with "incident handling." That's a topic for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day, but it does show GCIH benefits from decent branding.

You've probably figured out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two lists of acronyms were SANS certifications. The first list was a selection of a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retired SANS certifications. There's 26 of those.

The second list was a selection from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of 24 active SANS certifications.

What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first list, starting with "SSCP?" Those are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r certifications offered by ISC2. They're utterly forgettable. Had I not visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC2 Web site, I would never have known cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y existed.

Now, one could argue that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand "SANS" is as recognizable, or even more recognizable, than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand "CISSP."

The problem is that a person's resume could list "SANS" as a course he or she attended, without noting if a certain achievement (i.e., certification) was achieved. "SANS" is also a poor search term because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diversity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS ecosystem means you could be dealing with a legal person, or a reverse engineer, or a UNIX system administrator.

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer for SANS, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP will likely continue to out-market it? I recommend adopting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model used by Cisco. If you hear a person has a CCIE, that means something -- you immediately think of deep knowledge, several levels of work, and grueling hands-on testing over two days in a controlled environment.

The genius of Cisco's approach is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have "tracks" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCIE, e.g. Data Center, Routing and Switching, etc. Those aren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brands though; that stays with CCIE.

The Cisco approach isn't perfect, because you can't simply search resumes for "CCIE" intending to get a CCIE in security. You might find a CCIE in routing and switching, or wireless. However, if one finds a CCIE, you get a sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of seniority and ability to operate in a stressful environment (at least as far as a test can simulate).

SANS has tried something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCIE with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "GIAC Security Expert (GSE)." The GSE is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCIE in many respects, including horribly tough hands-on labs, but unfortunately hardly anyone knows about it. It is really difficult to reach that level in SANS certification. However, because only 63 people hold it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no real market for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, I smell a branding failure when SANS certifications like GSE, GCIH, and so on all have a "G," which references anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r acronym -- "GIAC," for "Global Information Assurance Certification." That doesn't even include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "SANS," which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stronger brand. GIAC originally meant "Global Incident Analysis Center," but that's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r story.

In brief, I think SANS could increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 branding value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certifications if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y retired cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing acronyms and names, incorporated "SANS" into a new naming scheme, and concentrated on a "level" approach seen with Cisco. Focus on Entry-Level, Associate, Professional, and Expert as Cisco does, and develop programs to accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Expert level among its constituency as Cisco did with CCIEs.

Rebranding would cause lots of SANS folk plenty of heartache, but I think integrating "SANS" into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new level-oriented structure would more than compensate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial transition costs. Ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system would be stronger for everyone.

What do you think?

Wednesday, July 14, 2010

Brief Thoughts on SANS WhatWorks Summit in Forensics and Incident Response 2010

Last week I spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third SANS WhatWorks Summit in Forensics and Incident Response in DC, organized and led by Rob Lee. As usual, Rob did a wonderful job bringing togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting speakers and timely topics. I thought my presentation on "CIRT-level Response to Advanced Persistent Threat" went well and I enjoyed participating on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "APT Panel Discussion."

I wanted to share a few thoughts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event.

  • This is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of event I like to attend. It's almost more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation content. I found plenty of peers interested in sharing leading practices. I hope to continue a relationship with several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CIRT leaders I met (or saw again) at SANS.

  • Props to Kris Harms and Nick Harbour for starting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir talk with a printed handout as reference for an in-class IR exercise, during a 1 hour talk! I kid you not. What a great way to make a point about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for OpenIOC. Kevin Mandia called existing IR report writing "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of caveman art" and I agree. Expect to hear more from me about OpenIOC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

  • I heard Harlan Carvey say something like "we need to provide fewer Lego pieces and more buildings." Correct me if I misheard Harlan. I think his point was this: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a tendency for speakers, especially technical thought and practice leaders like Harlan, to present material and expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few logical steps to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons in practice. It's like "I found this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry! Q.E.D." I think as more people become involved in forensics and IR, we forever depart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of experts and enter more of a mass-market environment where more hand-holding is required?

  • Developing people was a constant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me. I liked what Mike Cloppert said: "Be ready to hire someone who isn't perfect for your open role, but could grow into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role. Alternatively, when you don't have an open role, but someone perfect becomes available, you must hire that person."

  • I sent a lot of thoughts via Twitter at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit, so you can check out what I wrote through @taosecurity.


Finally, I'd like to remind everyone that I will begin planning my second SANS WhatWorks in Incident Detection and Log Management Summit, which will be held again in DC, on 8-9 December 2010. If you liked last year's Summit, you will love this new one. I'll have more to say as we get closer to registration.

Thursday, September 13, 2007

Blocking Port 53 TCP

I just read Experimental Storm Worm DNS Blocklist at SANS. The result of such a scheme looks something like this:

richard@neely:~$ host basic1.threatstop.com
;; Truncated, retrying in TCP mode.
basic1.threatstop.com has address 221.208.208.28
basic1.threatstop.com has address 221.208.208.27
basic1.threatstop.com has address 221.208.208.26
basic1.threatstop.com has address 221.208.208.25
basic1.threatstop.com has address 221.208.208.24
basic1.threatstop.com has address 221.208.208.23
basic1.threatstop.com has address 221.208.208.22
basic1.threatstop.com has address 221.208.208.21
basic1.threatstop.com has address 221.208.208.20
basic1.threatstop.com has address 221.208.208.19
basic1.threatstop.com has address 221.208.208.18
basic1.threatstop.com has address 221.208.208.17
basic1.threatstop.com has address 221.208.208.16
basic1.threatstop.com has address 221.208.208.15
basic1.threatstop.com has address 221.208.208.14
basic1.threatstop.com has address 221.208.208.13
basic1.threatstop.com has address 221.208.208.12
basic1.threatstop.com has address 221.208.208.11
basic1.threatstop.com has address 221.208.208.10
basic1.threatstop.com has address 221.208.208.9
basic1.threatstop.com has address 221.208.208.8
basic1.threatstop.com has address 221.208.208.7
basic1.threatstop.com has address 221.208.208.6
basic1.threatstop.com has address 221.208.208.5
basic1.threatstop.com has address 221.208.208.4
basic1.threatstop.com has address 221.208.208.3
basic1.threatstop.com has address 221.208.208.2
basic1.threatstop.com has address 221.208.208.1
basic1.threatstop.com has address 221.208.208.0

These IPs are supposed to be Storm Trojan infected hosts.

As soon as I saw that many records I knew TCP would be involved -- not UDP. Sure enough:



Basically, because so many records are returned, TCP is used. If you maintain a policy that blocks all port 53 TCP traffic because you heard that in a class somewhere, you might not be able to resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IPs. I wrote about this in my first book when I provided case studies on normal, suspicious, and malicious traffic using port 53 UDP and TCP.

Monday, April 30, 2007

Help SANS with Security Career Stories

The latest issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS @Risk (link will work shortly) newsletter contains this request:

Project In Which You Might Contribute: Career models for information security. If you know of someone who has accomplished a lot in security by exploiting deep technical skills, and moved up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organizations, please write is a little note about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to apaller [at] sans [dot] org. We have been asked by five different publications for articles or interviews on how to make a successful career in information security. A couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editors have heard that security folks with soft skills are no longer in demand and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to hear about models of success for people with more technical backgrounds. No names or companies will be disclosed without written permission.

If you can share a story, please email Alan Paller as indicated above. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical people of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world to make our mark.

Monday, March 26, 2007

SANS Software Security Institute

Today I attended a free three-plus-hour seminar offered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new SANS Software Security Institute. This is part of SANS dedicated to software security. I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir press release (.pdf) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full scoop, but basically SANS is introducing a Secure Programming Skills Assessement, additional training (eventually), and a certification path. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people will summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program, so I'd like to share a few thoughts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers at today's event.

  • Michael Sutton from SPI Dynamics said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of assembling a team of security people to address enterprise vulnerabilities worked (more or less) for network and infrastructure security because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team could (more or less) introduce elements or alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment sufficiently to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security posture. The same approach is not working and will not work for application security because addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem requires altering code. Because code is owned by developers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team can't directly change it. This is an important point for those who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can just turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CSIRT loose on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software security problem in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y attacked network security.

    Michael also said no security is trustworthy until trusted. (He actually said "trusted." There's a difference. Anyone can "trust" software. The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it is worthy of trust, i.e., "trustworthy.")

  • Alan Paller made a few comments. He said we have 1.5 million programmers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, so training all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m probably isn't an option. He said SANS is working with Tipping Point to create a "Programmer's @Risk" newsletter like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing vulnerabilities @Risk newsletter. Alan repeated a recommendation made my John Pescatore that organizations should run security tests against bids as well as upon acceptance.

    Alan noted that software testing should be considered a part of a "building permit" (pre-development) and a second "occupancy permit" (deployment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise). Alan also said PCI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only worthwhile security standard. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs just require writing about security, while PCI requires a modicum of doing security. (Mark Curphey disagrees!)

  • Jim Routh of DTCC said it's important for developers to recognize that security flaws are software defects, and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team's problem! His team of 450 inhouse developers uses three stages of testing: 1) white box for developers; 2) black box for integrators; and 3) third party for deployment.

  • Mike Willburn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI said FISMA C&A results in "well-documented" systems that score well on report cards but are "full of holes." Bravo.

  • Andrew Wing from Teranet said he doesn't let an inhouse project progress to user acceptance training unless it scores a certain rank using an automated software security assessment tool.

  • Jack Danahy from Ounce Labs stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of contract language for procuring. The OWASP Legal Project also offers sample language. Alan stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to build security into contracts, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vague concept of "negligence" when security isn't explicitly included in a contract.

  • Michael Weider from Watchfire said he fears user-supplied content will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next exploitation vector. I shuddered at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horror of MySpace and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like.

  • Steve Christey mentioned SAMATE (Software Assurance Metrics And Tool Evaluation).


That's what I can document given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I have. Thanks to SANS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir leadership in this endeavor.

Monday, March 19, 2007

Nail in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP Options Coffin

I just listened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant part of a recent SANS Webcast that mentioned my response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir conspiracy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory on SYN ACK and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r packets with weird TCP options. At first all I wanted to do with this post was link to Michal Zalewski's Museum of Broken Packets and say that SANS ISC is wasting time on a non-issue. Then I started reading some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MOBP entries. I nearly fell out of my chair when I read this.


Exhibit 7: DoS tool changes into DoS exploit

Internet Protocol Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
Total Length: 48
Identification: 0x6fbb
Flags: 0x04 (DF)
Fragment offset: 0
Time to live: 127
Protocol: TCP (0x06)
Header checksum: 0x63b6 (correct)
Source: 64.190.25.48 (64.190.25.48)
Destination: XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX)

Transmission Control Protocol, Src Port: 1113 (1113), Dst Port: 490 (490),
Seq: 269484601, Ack: 0
Source port: 1113 (1113)
Destination port: 490 (490)
Sequence number: 269484601
Header length: 28 bytes
Flags: 0x0002 (SYN)
Window size: 16384
Checksum: 0x023b (correct)
Options: (8 bytes)

Maximum segment size: 1460 bytes
NOP
Maximum segment size (option length = 4 bytes says option goes past end of options)

0000 XX XX XX XX XX XX XX XX XX XX XX XX 08 00 45 00 ..............E.
0010 00 30 6f bb 40 00 7f 06 63 b6 40 be 19 30 XX XX .0o.@...c.@.....
0020 XX XX 04 59 01 ea 10 10 02 39 00 00 00 00 70 02 ...Y.....9....p.
0030 40 00 02 3b 00 00 02 04 05 b4 01 02 04 03 .. .. @..;............

Yes, those last eight bytes are exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP options in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS packet on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir slide.

Michal explains:

This one comes from Andy Brown, who "does security" for a large web portal. It is a nice example of how simple error in DoS tool turned it into potential DoS exploit, and that conspiration cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory is not always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best answer :). The packet you see above is generated by a DoS SYN tool called Juno-z. This tool was used against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site. As Andy describes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fun is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP options: 0x020405B4 MSS=1460, 0x01020403 NOP, MSS=0x03??

Normally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NOP option (0x01) is used to pad options so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lie on 4-byte boundaries, causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual MSS value to lie conveniently on a 16-bit boundary. Here, it's not - this NOP causes MSS value to end past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this packet. Might cause some dumb stack to have a bus/alignment fetch error because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSS is shifted. Also, it could cause a dumb stack to read past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet causing a segmentation fault. Turns out, this was all unintentional - I talked to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author, and it was a coding glitch :-)


Here is juno-z. Notice dre mentioned juno-z and bang.c as tools that produce malformed packets. Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real victims in this DoS attack repeated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad TCP options cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y saw.

So, between my previous post and this one, I've identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real DoS victim (compton.ameri.ca), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnet C&C ordering a related attack, (thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ShadowServer project), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual tool used to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. I think it's time for SANS ISC to give up on this one. You are not seeing scanning, you are not seeing OS identification, you are not seeing anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r grand conspiracy whose secret lies in TCP options. You're seeing traffic caused by SYN floods.

Wednesday, March 07, 2007

Bejtlich Teaching at SANSFIRE 2007

I'll be teaching a special one-day course, Enterprise Network Instrumentation, at SANSFIRE 2007 in Washington, DC on 25 July 2007. ENI is a one-day course designed to teach all methods of network traffic access. If you have a network you need to monitor, ENI will teach you what equipment is available (hubs, switch SPAN ports, taps, bypass switches, matrix switches, and so on) and how to use it effectively. Everyone else assumes network instrumentation is a given. ENI teaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality and provides practical solutions.

Please register while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are still seats available. Thank you.

Tuesday, March 06, 2007

Nothing to See Here

Recently I noticed a posting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Internet Storm Center titled Deformed TCP Options - Got Packets? The story featured packets like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


07:11:45.781421 IP (tos 0x0, ttl 113, id 9433, offset 0, flags [DF],
proto: TCP (6), length: 48)
129.250.128.21.1256 > www.xxx.yyy.zzz.1229: S, cksum 0x5ed4 (correct),
2627126762:2627126762(0) ack 257795 6091 win 1460

0x0000: 4500 0030 24d9 4000 7106 4944 81fa 8015 E..0$.@.q.ID....
0x0010: wwxx XXYY 04e8 04cd 9c96 c5ea 99a8 7cfb ...{..........|.
0x0020: 7012 05b4 5ed4 0000 0204 05b4 0102 0403 p...^...........


07:11:51.517325 IP (tos 0x0, ttl 113, id 21659, offset 0, flags [DF],
proto: TCP (6), length: 48)
129.250.128.21.1252 > www.xxx.yyy.zzz.1070: S, cksum 0xa40c (correct),
1381904945:1381904945(0) ack 2301854615 win 1460

0x0000: 4500 0030 549b 4000 7106 764c 81fa 8015 E..0T.@.q.vL....
0x0010: wwxx XXYY 04e4 042e 525e 3231 8933 8397 ........R^21.3..
0x0020: 7012 05b4 a40c 0000 0204 05b4 0102 0403 p...............

In English, 129.250.128.21 is sending SYN ACK packets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obfuscated IP addresses. 129.250.128.21 is sending SYN ACK packets because it is replying to SYN packets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obfuscated IP. I knew right away what was happening. Some people called it "backscatter." When I wrote my first paper on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject in 1999 I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exceptionally exciting term "third party effects," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby consigning my research to some vague corner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. In brief, 129.250.128.21 was being SYN flooded; it is a victim, not a perpetrator.

The ISC handlers wrote:

Generally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source ports are 80, 6667, 6666, and 443. However cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also a number of packets with random source ports between 1024 and about 1300. Ports 1024-1300 are also used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target port. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dshield data for ports 6666 and 6667 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a small peak for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ports as source ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 27/28 Feb.

So we are seeing multiple hosts sending SYN,ACK with truncated option to targets (sometimes both scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP) from known ports. The response is typically a RST, or RST,ACK. The window size is also often changed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response.

What it looks like is a mapping/fingerprinting exercise using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target stacks' response to bad options. But at this stage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end goal is unclear.


I thought this was not right, and I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handlers as much. They didn't believe me, so I asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought it might be a good idea to step out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cave of packet conspiracies and ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner of 129.250.128.21 what was happening. (This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy I followed in my original paper.) They decided not to pursue this non-technical investigative method, so I emailed hostmaster [at] ameri [dot] ca based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resolution for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP: compton.ameri.ca.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I've been exchanging emails with Brad Dreisbach. He wrote:

i have been getting tcp syn attacked for about 3 weeks now. i have re-installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host just to be safe, but im fairly sure my systems are secure. i have also taken measures with my upstream, whom i also work for, to migitate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. some stuff is still getting through but at this point im just waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers to give up...

There you go -- Brad is being attacked. 129.250.128.21 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim. 129.250.128.21 is not doing some kind of reconnaissance.

When I asked Brad if he had captured any traffic related to his ongoing denial of service attack, he replied:

this pcap file doesnt appear to be a tcp syn attack, but some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r form of tcp attack. whoever is doing this is changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir stategy though. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack has changed a few times over its duration. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y even attacked me via ipv6 for a few hours.

Here's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic he sent:

2007-02-22 17:40:20.844503 IP (tos 0x0, ttl 119, id 5698, offset 0,
flags [DF], proto: TCP (6), length: 40)
68.102.133.89.3072 > 129.250.128.21.80: .,
cksum 0xd7b5 (correct), 0:0(0) ack 0 win 0
0x0000: 4500 0028 1642 4000 7706 21bf 4466 8559
0x0010: 81fa 8015 0c00 0050 0000 0000 0000 0000
0x0020: 5010 0000 d7b5 0000

2007-02-22 17:40:20.855549 IP (tos 0x0, ttl 120, id 48455, offset 0,
flags [DF], proto: TCP (6), length: 40)
72.207.227.118.3072 > 129.250.128.21.80: .,
cksum 0x752f (correct), 0:0(0) ack 0 win 0
0x0000: 4500 0028 bd47 4000 7806 1733 48cf e376
0x0010: 81fa 8015 0c00 0050 0000 0000 0000 0000
0x0020: 5010 0000 752f 0000

2007-02-22 17:40:20.948933 IP (tos 0x0, ttl 118, id 3193, offset 0,
flags [DF], proto: TCP (6), length: 40)
71.237.133.30.3072 > 129.250.128.21.80: .,
cksum 0xd469 (correct), 0:0(0) ack 0 win 0
0x0000: 4500 0028 0c79 4000 7606 293c 47ed 851e
0x0010: 81fa 8015 0c00 0050 0000 0000 0000 0000
0x0020: 5010 0000 d469 0000

This looks like an ACK flood to port 80 TCP. The victim will reply with RST packets (not RST ACK) if it can.

I think ISC got thrown off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trail because SANS has a history of seeing global conspiracies in weird packet patterns. This dates back almost ten years and is documented in my first book. The unfortunate result of this attitude is hundreds, if not thousands, of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security analysts have "learned" to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se patterns as malicious too. ISC also spent too much time concentrating on "broken TCP options" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backscatter traffic. They did not accept my observation that victims under DoS attack tend to respond slowly, weirdly, and eventually not at all when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are flooded.

If you decide to post a nasty reply here because you love ISC and SANS, please keep in mind you're only seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story. ISC and I exchanged very polite emails, but I am not going to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional justifications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC evil packet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory here because those emails were private.

I think ISC does a great service to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community, but I would like to see SANS officially abandon its adherence to this misguided view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. I am not trying to pick a fight with SANS. All I want is for security analysts to know this pattern is often seen as "malicious" by many when it is utterly benign -- at least as far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backscatter recipient is concerned. Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site sending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SYN ACK, RST ACK, or RST traffic is responding to a SYN flood (to an open or closed port, respectively) or to an ACK flood.

The moral of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story is that it is not a good idea to assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is out to get you when a stray packet arrives at your doorstep. A second lesson is that it sometimes make sense to investigate issues by doing human analysis racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than peering at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eyes of Tcpdump/Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real/Wireshark. A third lesson is that it makes little sense to interpret traffic as being malicious if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probablility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "scanner" learning anything remotely useful is extremely low.

Update: One of my friends noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virginia Tech DShield has 129.250.128.21 listed as one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "Top 10 Most Wanted" "attackers". This demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trouble with automated reporting systems.

Update 2: Be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exciting conclusion here.

Friday, January 12, 2007

Certified Malware Removal Expert

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites (link will work shortly):

Does anyone on your staff do an excellent job of cleaning out PCs that have been infected by spyware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software. We are just starting development of a new certification (and related training) for Certified Malware Removal Experts and we are looking for a council of 30 people who have done a lot of it to help vet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills an dknowledge required for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification exam and classes. Email cmre@sans.org if you have a lot of experience.

This must be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest SANS certification of all! The safest way to remove malware is to reinstall from trusted original media (not backups which could be compromised). That doesn't even account for BIOS or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hardware rootkits, but hardly anyone cares about that problem yet.

Hopefully SANS will come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same conclusion that Microsoft already did and drop this idea.

Friday, November 17, 2006

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Thoughts on SANS Top 20

It seems my earlier post Comments on SANS Top 20 struck a few nerves, e.g. this one and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

One comment I'm hearing is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Top 20 isn't "just opinion." Let's blast that idea out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 water. Sorry if my "cranky hat" is on and I sound like Marcus Ranum today, but Marcus would probably agree with me.

First, I had no idea cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest "Top 20" was going to be called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SANS Top-20 Internet Security Attack Targets" until I saw it posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web. If that isn't a sign that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire process was arbitrary, I don't know what is. How can anyone decide what to include in a document if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document isn't determined until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end?

Second, I love this comment:

Worse still, Richard misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forest completely when he says that “… it’s called an ‘attack targets’ document, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s nothing inherently ‘vulnerable’ about …”. It doesn’t really matter if it’s a weakness, action item, vulnerability or attack. If it’s something you should know about, it belongs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Like phishing, like webappsec, and so on. Don’t play semantics when people are at risk. That’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of cigarette and oil companies.

This shows me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Top 20 is just a "bad stuff" document. I can generate my own bad stuff list.

Top 5 Bad Things You Should Worry About

  • Global warming

  • Lung cancer

  • Terrorists

  • Not wearing seat belts

  • Fair skin on sunny days


I'm not trying to make a point using a silly case. There's a real thought here. How many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are threats? How many are vulnerabilities? (Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference explicit?) How many can you influence? How many are outside your control? How did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y end up on this list? Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranking make any difference? Can we compare this list in 2006 with a future list in 2007?

Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last point for a minute. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20 were metric-based, and consisted of a consistent class of items (say vulnerabilities), it might be possible to compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lists from year to year. You might be able to delve deeper and learn that a class of vulnerabilities has slipped or disappeared from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list because developers are producing better code, or admins are configuring products better, or perhaps threats are exploiting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vectors.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se insights, we could shift effort and resources away from ineffective methods and focus our attention on tools or techniques that work. Instead, we're given a list of 20 categories of "something you should know about." How is that actionable? Is anyone going to make any decisions based on what's in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20? I doubt it.

Third, I'm sure many of you will contact me to say "don't complain, do something better." Well, people already are. If you want to read something valuable, pay attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec Internet Threat Report. I am hardly a Symantec stooge; I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach.

I will point out that OWASP is trying to work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir single category ("Web Applications") is one of 20 items on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS list.

I realize everyone is trying to do something for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. Everyone is a volunteer. My issue is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper focus and rigor would result in a document with far more value.

Wednesday, November 15, 2006

Comments on SANS Top 20

You may have seen that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS Top 20 was released yesterday. You may also notice I am listed as one of several dozen "experts" (cough) who "helped create" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. Based on last year's list, I thought I might join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development process for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Top 20. Maybe instead of complaining once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list was published, I could try to influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process from inside?

First let me say that project lead Rohit Dhamankar did a good job considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. He even made a last-minute effort to solicit my feedback, and some of my comments altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 categories you now see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20. I thank him for that.

As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list goes, it's important to realize that it's based on a bunch of people's opinions. There is no analysis of past vulnerability trends or conclusions based on real data, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability Type Distribution I mentioned earlier. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where I realized people were just going to write up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts on various problems (Internet Explorer, Mac OS X, etc.) I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project. Rohit emailed me early this week, but I was formally done in early October.

If you think a bunch of people's opinions is worthwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you may find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 useful. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20's utility, such as it is, derives from name recognition. If that can help influence your organization's management, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I guess it is helpful.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest Top 20 is a very informative document with plenty of references. I would expect most security practitioners to understand or at least recognize everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is as "actionable" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Top 10, which listed specific vulnerabilities (e.g., "RDS security hole in IIS," CVE-1999-1011) that you needed to patch now.

The latest Top 20 has hundreds of CVE entries, and as such is more of a meta-description of Internet targets. In that respect I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact it's called an "attack targets" document, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing inherently "vulnerable" about, say, Mac OS X. Instead, Mac OS X is being attacked.

What do you think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new list?

Tuesday, September 19, 2006

SANS Network IPS Testing Webcast

I'm listening to a SANS Webcast on Trustworthy IPS Testing and Certification. Jack Walsh from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Intrusion Prevention section of ICSA Labs spoke for about 45 minutes on his testing system. Jack spent a decent amount of time discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network IPS Corporate Certification Testing Criteria (.pdf) and vulnerabilities set (.xls). The vulnerabilities set was just updated a week ago, after being criticized in July.

At present only three products are ICSA Labs certified, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICSA Web site and this press release. ICSA Lab certification is a pass/fail endeavor; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no grades.

ICSA does not release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies whose products fail. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIPS Product Developers Consortium, you can make some guesses about who participated.

Vendors pay for testing. They do so by paying for a year-long testing period, during which time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will receive at least one "full battery" of testing. Tests are rerun when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability set is updated or when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n attacks used to exploit vulnerabilities change. Although ICSA Labs publishes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y test, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not say specifically how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities. Jack said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do use Metasploit, Core Impact, and home-grown programs. ICSA Labs relies on running real captured network traffic through a NIPS, during which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y inject captured attack traffic.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webcast informative. I was surprised that Jack was so insistent that NIPS provide "mitigation" for denial of service attacks. I don't consider that an essential element of NIPS activity.

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability set, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appear to be dominated by "traditional" vulnerabilities, namely weaknesses in services running on servers. You will not see application-layer vulnerabilities like cross-site scripting, for example.

A competitor to ICSA Labs is NSS, who just announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NSS Group IPS Testing Methodology V4.0 (060731) (.pdf) and a Certified IPS Products list.

Monday, September 18, 2006

Thoughts on Latest SANS Whitepaper

I read about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new SANS paper IT Security Industry Changes: Trouble on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Horizon (September 2006) (.pdf) in this NewsBites issue. Here are some excerpts and my reactions.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past six months, SANS Technology Institute's Stephen Northcutt has been gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring data and stories from security managers in more than 100 US organizations searching for patterns in job changes of security managers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consultants who support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The research was triggered by multiple emails from security managers who were facing reorganizations. His conclusions, albeit preliminary, paint a worrisome picture of job prospects for ill-equipped security managers, but also offer promise of some opportunities for success and advancement.

That's an interesting project. Let's read more.

[S]enior executives began to feel more comfortable voicing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir frustration that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were wasting money paying for hugely expensive people and compliance reports that probably were not needed and that often had no impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to stop attacks or avoid disclosure of private information. The senior executives pushed back on budget requests, asking exactly what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would get in decreased risk from each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expenditures. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got answers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't like, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y looked for ways to reorganize. Numerous security managers were pushed out as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibilities were moved to IT operations or audit or risk management groups.

Stephen continues by implying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se fired security managers lacked real technical skills and could not do much more than write reports. However...

Government is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one area where soft security skills, like policy and report writing, are still in demand, both in security staff and in consultants. The US Congress and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House passed and implemented legislation (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act) that rates federal agencies less on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems are protected from attack and more on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies have written security evaluation reports for every system. Consulting firms have gotten rich writing those reports. One CEO reported that his firm had grown from three people doing security evaluations to 175 people writing FISMA reports, in just five years.

Does that make any else sick? It makes me ill.

Recent public disclosure of huge security failings, however, have caused government officials to review FISMA, particularly how it is implemented. Change seems to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air. That same CEO reported that 75% of his 175 FISMA folk today have soft skills and only 25% have solid technical security skills. He sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for that mix of skills to be reversed, within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next year or so, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business "will dry up."

That is awesome. It probably explains why TaoSecurity continues to receive calls from firms inside-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-Beltway (and beyond) wishing to "team" to provide technical services to .gov clients, instead of just certification and accreditation.

Friday, September 08, 2006

Bejtlich Returns for SANS CDI East 2006

It's been three years since I spoke at at SANS conference; I last presented at SANS NIAL in 2003. After some friendly discussions with SANS staff at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent SANS Log Management Summit, we've arranged for me to present a special event for SANS Cyber Defense Initiative East -- a two evening course called Enterprise Network Instrumentation (ENI).

I developed ENI for a private client, but no public class has ever seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material. I will be presenting ENI for two evenings, 14 and 15 December, 2006, from 6 to 9 pm at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hilton Washington & Towers in Washington, DC.

ENI is all about solving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficult problems associated with gaining access to network traffic. It seems every book (with a few exceptions) assumes it's easy to deploy sensors to observe packets. In reality, achieving visibility in modern networks can be extremely difficult. ENI will share recommendations and concrete solutions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most taxing enterprise network instrumentation issues seen today.

You can register for ENI immediately. The fees look reasonable -- especially if you're already attending a day track. Please let me know if you have any questions.

Thursday, August 24, 2006

Upcoming SANS Webcast on SCADA Attacks

If you don't have one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ten billion email addresses registered with SANS, you might not have heard of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir upcoming Cyber Attacks Against SCADA and Control Systems Webcast. I didn't have to register for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event since my SANS login works. I plan to be listening on 7 Sep though. I'm interested to see what SCADA guru Dale Peterson has to say about this.

Saturday, August 05, 2006

The Old Man Still Has It

Last week you may have seen this Packet Analysis Challenge posted by at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Internet Storm Center. I downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace and looked at it using Tcpdump. After about five minutes I recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pattern as one I wrote about in late 1999 and presented that paper at SANS 2000.

I submitted a link to my paper as an explanation, and Lorna wrote back

Yes, this traffic falls into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one you discuss in "A Final Case". The traffic I posted was sumitted to us by a university. You are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first person to get this right! Nicely done!

I also wrote about this patten in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS chapter in The Tao of Network Security Monitoring.

If you want to read SANS' explanation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trace, please read today's solution.

Saturday, July 22, 2006

SANS Log Management Summit

Last week I paid for and attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Log Management Summit. I'd like to share a few thoughts about what I saw. First, I think Alan Paller did a great job as host. He kept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations moving and unflinchingly kept to his schedule. Talks started at 8 am, period. I thought his "yellow card" system for questions worked very well. (If you wanted to ask a question, you wrote it on a yellow card. SANS staff collected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n handed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker or Alan, who answered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question.) The system prevented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "speeches" one usually sees in large crowds with open microphones.

Alan started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference by presenting his "faces of cybercrime" presentation, based on his testimony (.pdf) in late 2005. He reminded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice to learn hacking given by soon-to-be-executed Bali bomber Imam Samudra. Alan claimed at least one organized crime group has moved two hackers to Africa and forced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to compromise targets "20 hours per day, 7 days per week," "for food." He reminded us of China's military doctrine of asymmetric warfare and repeated his earlier statements about Titan Rain.

With regard to new information, Alan named three ways to help fight back against cybercriminals.

  1. Respond faster.

  2. Change metrics.

  3. Shift some responsibility to suppliers and integrators.


I like this approach. For a few years Alan was beating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drum for #3, and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year he's been working #2. I like #1 alot, since I am an incident responder.

With regard to metrics, Alan likes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "attack-based metrics," and uses phrases like "measuring what we need to do," "how are we being compromised," and "how can we defend ourselves." He noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is "lead" for this approach. Alan said measuring report writing (e.g., FISMA) is a waste of time. Some example metrics he noted were:

  • Can an incident of successful spear phishing be detected in 30 minutes or less?

  • What percentage of employees fall victim to a spear phishing test?


Alan mentioned using privilege user monitoring as a means to counter insiders, although he also said "The insider threat is baloney," until an outsider becomes an insider. Alan concluded his talk by sounding optimistic about SCADA procurement standards. I have no dog in that fight, but I recommend reading Dale Peterson's SCADA Blog for all things SCADA.

Lawyer Ben Wright spoke next about log management and legal issues. I really wanted to see this talk. Ben said logs can indicate control, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby preventing claims of negligence and offering evidence to resolve disputes. His most interesting point was that records of log review are more important than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal eye, it's better to make a note every time you review your logs than it is to retain those logs. Email is far more important to retain, since firms are fined millions for failing to keep email.

Ben noted that HIPAA Security Rule 45 CFR 164.308(a)(1)(ii)(D) mentions logs, as does NIST SP 800-66 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Standard of January 2005, part 10.6. However, review of logs, not retention of logs, is critical. Ben explained negligence law, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard is "reasonableness." He said that if a company writes a policy stating "We will do X," and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail to perform X, it's easy for a jury to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company negligent. That means lawyers will recommend companies write policies saying "We may do X." The audience had a hard time handling that idea, since it's a lawyer's point of view and not that of an auditor or security person.

Ben provided three suggestions regarding log management.

  1. Policy should stress preferences, not statements saying "We will do X."

  2. Keep records of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact you reviewed logs.

  3. Only a company's full audit committee should know about all monitoring methods -- neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r employees nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO should know what is watched or stored.


Ben liked promoting "mystery" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workplace to keep people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 straight and narrow. It's sounds like a great deterrence tool, but a little draconian for me.

Next followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of several presentations by users of vendor log management solutions. Here I should mention that companies formally represented at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit were Arcsight, Network Intelligence, LogLogic, Prism Microsystems, and SenSage. Yes, that's it -- no Tenable or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r big players. More importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors chose all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customers who presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product experiences. Not surprisingly, all gave glowing opinions. This was really disappointing. The only opposing point of view came from Stephen Northcutt at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit's end, who reported a majority of log management users are dissatisfied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir solutions! Although TriGeo did not speak on any panels, some customers reported using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product.

I won't mention individual user reports by name, since most weren't that helpful. Here's a clue that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detail I (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attendees) expected: when Alan has to ask, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of a presentation, "So what product do you use?", you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefer didn't share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details that attendees wanted to hear.

Here are a few data points though, collected from all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer reports and hence out-of-order chronologically. Chad Mead from JPMorgan Chase said his shop, with 210,000 desktops, 40,000 servers, 400 NIDS, 900 firewalls, 81 mainframe LPARs, and over 1 million network ports, produces over 150,000 events per second. He operates two security management centers with five people operating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log management solution and 65 analyzing logs. Wow, that's what I like to hear! His security team owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logging infrastructure, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device owners own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log feeds. This was a common refrain.

Mark Olsen from CareGroup Healthcare System said all emergency room records are transmitted electronically "to Atlanta," by which I guess he meant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDC. This is a measure to identify Bird Flu outbreaks. That sounds like something from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X-Files. He also said that while HIPAA enforcement actions thus far have been few and far between ("19,000 violations in 2005, 7 selected for prosecution"), expect that to change in 2007.

Chris Calabrese said a word about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Issues in Network Event Logging (syslog) IETF working group. Mike Poor said his company deploys LaBrea Tar Pits on Soekris boxes inside companies to watch for unexpected traffic. Jay Leak from Nokia justified his log management project by realizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 waste caused by his company making over 1,000 requests for log data each year, with each request taking over 4 hours and half of those never being resolved. Keith Fricke said "IPS is completely misnamed." He uses his IPS to block outbound malicious traffic from compromised internal systems! What's misnamed about that -- he's trying to "prevent" someone else from being compromised.

Chris Brenton and Mike Poor next unveiled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 5 Essential Log Reports (.pdf). This appears to have gotten zero news coverage, which I don't understand. Here cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are, meaning what you should look for while reviewing logs:

  1. Attempts to Gain Access through Existing Accounts

  2. Failed File or Resource Access Attempts

  3. Unauthorized Changes to Users, Groups and Services

  4. Systems Most Vulnerable to Attack

  5. Suspicious or Unauthorized Network Traffic Patterns


I found it funny that I wrote a whole book (Extrusion Detection) about #5, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "extrusion detection" isn't mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS .pdf. They did mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LogAnalysis.org mailing list, which I should probably start reading.

The end of day one concluded with a "vendor shoot-out," where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five vendors I named earlier made pitches and argued with each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. It seemed more hostile than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Real World Intrusion Detection Workshop I attended four years ago with Bamm Visscher, right before I left Ball Aerospace to join Foundstone (sorry Bamm!).

I liked that LogLogic's Anton Chuvakin (I know you're reading) prefers to collect everything from a log source and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centralized solution handle presenting useful information. He said "you never know what might be important," which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for my NSM approach. During a nice "lunch and learn" Anton also said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest obstacle to building one's own log management solution is keeping pace with changing log formats. I had never imagined that problem.

One really astute question-asker wondered why three vendors showed Lehman Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs as a client on each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presentations. Each vendor stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir case, with Network Intelligence saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real log collecting, after which it forwarded a feed to ArcSight.

Day two started with Mike Poor discussing network early warning systems (NEWS). He said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous Dutch botnet wasn't 1.5 million victims strong -- it was more like 5.1+ million systems. Wow. Mike reminded us of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dabber worm which attacked Sasser victims. He said Dshield collects logs from 40,000 sensors watching 500,000 IPs. Mike spent some time discussing DNS cache poisoning and SANS' role.

By now you might be wondering, "where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news on NEWS?" (Oh, too funny.) To be honest, I didn't hear much of anything new. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wasn't much "early warning" to speak of. If you deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems Mike mentioned in his talk, you aren't learning of an attack before it happens -- you're learning afterwards. I suppose if you are at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim list and you share what you know, you're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NEWS for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs! Mike did name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese Honeynet Project as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of some interesting tools. I might try those.

I've already noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second day worth repeating, so that ends day 2.

Day 3 consisted of classes by Randy Franklin Smith on Windows Event Logs and Chris Brenton on building your own solution. In short, Randy is a Windows EVL guru and Chris is a great instructor. These two classes probably saved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire three days for me, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y at least had some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detail I expected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous two days. Randy's class really emphasized that understanding Windows EVL is an art in itself. It takes a lot of work to make sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Randy said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appointment of Eric Fitzgerald as a sort of Windows EVL czar will help unify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of changing everything once Vista appears. Chris reminded me to try programs like Simple Event Correlator, Privateye, and Syslog NG.

Overall, I think I got my money's worth from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit. I do not do log management as a primary task, so I was exposed to a whole new world of challenges. I met some interesting people and I got to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX briefing and Vendor Expo. Both yielded contacts that might result in future blog posts.

I predict that three years from now people will still be disgusted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir log management and security incident management "solutions," and will be looking for "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next big thing." It's already happened with firewalls, IDS, IPS, and now LM/SIM.

What did you think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summit?

Saturday, July 15, 2006

Comments on SANS CDX Briefing

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of paying for this week's SANS Log Management Summit was attending a briefing last week on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Cyber Defense Exercise conducted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA. SANS organized a panel with a USAFA cadet, a USNA midshipman, a USMA-grad Army 2LT, and several NSA or ex-NSA representatives, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir boss, Tony Sager. Although I've known of CDX for several years, this was my first real insight to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exercises are conducted.

The NSA organizer, or "white cell leader," is Bruce Rogers. He explained that competitions can be conducted eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as capture-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-flag style events or purely defensive affairs. CDX is purely defensive. When I asked Mr. Rogers if he had spoken to any organizers of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cyber competitions, like those of Def Con or ShmooCon, he said no. Mr. Rogers has 20 white controllers overseeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise, which includes 6 targets (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 six defending teams -- USAFA, USNA, USMA, USMMA, AFIT, and NPS).

The attackers are split into two groups. The first group consists of "tainters". These are 13 NSA personnel, which included one high school-age intern and one college-age intern. The tainters spent about 80 man-hours building and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n misconfiguring, rootkitting, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise tampering with virtual machines delivered to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX participants. The participants had two weeks to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se VMs for vulnerabilities and exploitation, after which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to activate and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. These compromised servers are supposed to be similar to "host nation machines" that military personnel might find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves operating.

I was initially shocked by this news. Who in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir right mind would trust host nation equipment for sensitive operations? Wouldn't it be best to rip everything out and start fresh with clean, trusted media? After some thought, I decided that this tainting phase was more realistic than I initially believed. Unless one joins a very small company, no new security or IT employee is ever allowed to begin work at a new job by rebuilding all infrastructure. When you join a new company, you're stuck with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 garbage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y give you.

The second group of attackers are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional red team. This group consists of real red teams from across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USAF 92nd Information Warfare Aggressor Squadron. The red team hammered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6 target networks for 4 straight days. The target networks were hosted on live network links at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respective schools and were connected back to NSA via VPN. No simulated non-malicious traffic was carried to or from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target networks. Everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire was considered malicious since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team was creating it. This is highly unrealistic, but partially driven by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bandwidth available to some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams. At least one hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir target network on an ISDN line.

Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military participants said a few words about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir teams and experiences. Three cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes stood out. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team size varied widely. USAFA's team had 9 people. USMA's team had 35-40. (USAFA won.) Second, most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams admitted having little or no security training. I was amazed. Who signs up for a hack-fest without having security experience? Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks designed by each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams varied widely. USAFA emphasized simplicity. USNA concentrated upon prevention, and never regained control once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir servers were compromised. ("Prevention eventually fails." -- Tao) USMA's network was exceedingly complex, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tried to watch outbound traffic for signs of compromise (e.g., extrusion detection). No team was allowed to block traffic from malicious IPs.

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target networks ended up being 0wn3d. USAFA didn't notice a rogue Apache module that resulted in a Web site defacement. USMA missed a default password on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir router and lost control of it. The red team said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best team only found 15% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tainters." Wow. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tainters did not tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMs. The tainters dropped some clues as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise progressed, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team mostly used standard penetration techniques.

These were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 CDX.

Top 9 Exploited Vulnerabilities

  1. Microsoft Windows LSASS Buffer Overflow Vulnerability

  2. Microsoft DCOM

  3. LM Hash versus NTLM Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Protocol

  4. Use of Weak Passwords

  5. Use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same password on Multiple Systems

  6. Microsoft Windows Default Administrative Shares

  7. Rich Text Format / HTML Email

  8. Access to System Executables

  9. Use of Unnecessary Services / Accounts



Student Best Practices

  1. Know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network and Keep it Simple: Each additional device is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r avenue of attack. The entire team must understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Troubleshooting is easier with a simple design.

  2. Deny by Default Policy: Only allow what is absolutely necessary. It's easier than blocking known bads.

  3. Remove Unnecessary Services, Software, and User Accounts: What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer? Remove unnecessary software completely.

  4. Plan for Contingencies: All networks will eventually have a problem.


Finally, two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 panel members (I remember USAFA cadet Michael Tanner told this story) participated in CDX and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Collegiate Cyber Defense Competition. Rob Lemos wrote about it for SecurityFocus. Cadet Tanner said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national CDX was completely different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military CDX. The military CDX allowed participants to protect and host cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir VMs using a variety of technologies. USAFA used mainly OpenBSD. AFIT used all Windows. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r groups uses ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technologies. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national CDX, participants were given a ton of commercial equipment (all from sponsors, no doubt) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves hacked to pieces five minutes into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise. Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were given no opportunity to do anything with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equipment prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise starting?

Overall, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session to be extremely informative. I'd like to thank Alan Paller from SANS for organizing this event and I appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences. If you want more details, I found some papers on both exercises posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Colloquium for Information Systems Security Education.

Tuesday, June 13, 2006

Holy Cow, I'm Going to SANS

I just signed up to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Log Management Summit, 12-14 July 2006 in Washington, DC. I think this is a great opportunity to hear some real users and experts talk about log management. Given that it's located near me, I decided I could afford to pay my own way to this conference. Is anyone else attending? If yes, register by tomorrow for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cheapest rates.

Thursday, January 19, 2006

Notes from Airplane Reading

Last week I read several magazines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to DoD Cybercrime. Here are a few thoughts on what I read. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat and vulnerability definition department, we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article DHS offers $765M in risk-based grants from Federal Computer Weekly:

The Homeland Security Department has made $765 million available in fiscal 2006 for 35 urban areas to guard against terrorist threats, DHS Secretary Michael Chertoff announced today.

The Urban Areas Security Initiative (UASI) this year follows a new, risk-based formula that allots funding according to threat, vulnerability and consequence, Chertoff said...

In assigning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grants, DHS also for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time used threat analysis from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community to look at different kinds of threats, such as transient populations, Chertoff said.


Replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "consequence" with "cost of replacement" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second paragraph and you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common risk equation found in my books and elsewhere. Nice reporting, Michael Arnone!

I liked this article by CIO magazine editor in chief Abbie Lundberg. This is an excerpt:

People talk a lot about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new skills for IT being "business" skills, coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business side. It bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs me that people talk about "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business" as if it’s some monolithic thing made up of every department that’s not IT.

The implication is that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se not-IT departments share common skills, attributes and concerns, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no competing interests among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m or any lack of understanding between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. It also seems to assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y possess some intrinsic understanding of what’s right for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise’s future and that IT doesn’t. Right.

Frankly, I don’t think "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business," or any one part of it, is in unique possession of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills necessary to construct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21st-century organization. In fact, I’d hazard to say that IT may be better equipped to drive and execute this transformation than any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r department in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern corporation.


Thank you. I don't know what you read or hear, but I am tired of hearing drivel about "business skills." Here's an example from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue of CIO, an article titled The New IT Department:

The preferred educational background for IT employees today is more often an MBA than a computer science degree, says [Lauri] Orlov [VP and research director for Forrester]. New IT hires are as likely to be brought over from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business side as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are to have been groomed in IT.

Is this why companies continue to be compromised? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MBAs running around wondering why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir self-defending networks are failing? I guarantee we will see a "back-to-basics" movement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few years, where "hands-on" tech skills will be emphasized again.

Speaking of "hands-on" skills, FCW had anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting article -- SANS: Popular certifications don't ensure security. So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big deal? Alan Paller summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings:

Many popular information technology security certifications don't improve holders' ability to ensure computer systems' security, according to a new survey from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute, a training and education organization for security professionals.

The survey found that respondents with certifications from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computing Technology Industry Association (CompTIA), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Information Systems Security Certification Consortium -- also known as (ISC)2 -- and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Systems Audit and Control Association (ISACA) think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir training does not give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as strong an advantage in performing hands-on security jobs as platform- and vendor-specific certifications do.

Because respondents could vote for multiple certifications, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 low votes for CompTIA, (ISC)2 and ISACA certifications are compelling proof that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se certifications should not be relied upon for people with hands-on security responsibilities," said Alan Paller, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 institute's director of research.


One could argue this report and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey (.pdf) are serving SANS's interests, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings also benefit holders of Cisco and similar vendor certifications.

Why is Alan upset?

He is especially concerned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department now requires its frontline information assurance employees to have such nontechnical certifications. DOD's decision, finalized in December, came after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Titan Rain scandal last year in which international cybercriminals circumvented DOD's security measures and stole classified information.

"If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se certifications do not correlate with hands-on security skills, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n DOD is misleading its commanders by implying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir people have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary security skills when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not," Paller said.


What does DoD require?

DOD officials are satisfied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir choice of certifications, said Robert Lentz, director of information assurance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DOD CIO's office. The department has codified competencies for its IT security employees under Directive 8570.1, "Information Assurance Training, Certification and Workforce Management," which requires frontline security professionals to have certifications from CompTIA and (ISC)2 but not from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute or vendors.

Lentz said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certifications ensure that information assurance employees have adequate hands-on experience. Combined with additional specialized training that commanders provide on-site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will ensure sufficient security for mission-critical systems, he added.


CompTIA and (ISC)2? Wonderful. Even I will admit that SANS certification holders are far more technically equipped than CompTIA Security+™ or CISSP holders.

It is a tragedy that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP has become associated with "hands-on" technical proficiency. And what of CompTIA?

The CompTIA Security+ certification tests for security knowledge mastery of an individual with two years on-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-job networking experience, with emphasis on security.

"Two years" and "security knowledge mastery" should not be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sentence.

I may have more to say on this topic after I attend tonight's ISSA-NoVA meeting. The subject is 8570.1.