Showing posts with label topcan. Show all posts
Showing posts with label topcan. Show all posts

Friday, December 21, 2018

Managing Burnout

This is not strictly an information security post, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic likely affects a decent proportion of my readership.

Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years I experienced a profound professional "burnout." I've privately mentioned this to colleagues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, and heard similar stories or requests for advice on how to handle burnout.

I want to share my story in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hopes that it helps ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security scene, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by coping with existing burnout or preparing for a possible burnout.

How did burnout manifest for me? It began with FireEye's acquisition of Mandiant, almost exactly five years ago. 2013 was a big year for Mandiant, starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report in early 2013 and concluding with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition in December.

The prospect of becoming part of a Silicon Valley software company initially seemed exciting, because we would presumably have greater resources to battle intruders. Soon, however, I found myself at odds with FireEye's culture and managerial habits, and I wondered what I was doing inside such a different company.

(It's important to note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appointment of Kevin Mandia as CEO in June 2016 began a cultural and managerial shift. I give Kevin and his lieutenants credit for helping transform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. Kevin's appointment was too late for me, but I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work he has done over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years.)

Starting in late 2014 and progressing in 2015, I became less interested in security. I was aggravated every time I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same old topics arise in social or public media. I did not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of continuing to debate issues which were never solved. I was demoralized and frustrated.

At this time I was also working on my PhD with King's College London. I had added this stress myself, but I felt like I could manage it. I had earned two major and two minor degrees in four years as an Air Force Academy cadet. Surely I could write a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis!

Late in 2015 I realized that I needed to balance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very cerebral art of information security with a more physical activity. I took a Krav Maga class cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first week of January 2016. It was invigorating and I began a new blog, Rejoining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao, that month. I began to consider options outside of informations security.

In early 2016 my wife began considering ways to rejoin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 W-2 workforce, after having stayed home with our kids for 12 years. We discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of me leaving my W-2 job and taking a primary role with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kids. By mid-2016 she had a new job and I was open to departing FireEye.

By late 2016 I also realized that I was not cut out to be a PhD candidate. Although I had written several books, I did not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right mindset or attitude to continue writing my cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis. After two years I quit my PhD program. This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I had quit anything significant in my life, and it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right decision for me. (The Churchill "never, never, never give up" speech is fine advice when defending your nation's existence, but it's stupid advice if you're not happy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path you're following.)

In March 2017 I posted Bejtlich Moves On, where I said I was leaving FireEye. I would offer security consulting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short term, and would open a Krav Maga school in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-term. This was my break with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community and I was happy to make it. I blogged on security only five more times in 2017.

(Incidentally, one very public metric for my burnout experience can be seen in my blog output. In 2015 I posted 55 articles, but in 2016 I posted only 8, and slightly more, 12, in 2017. This is my 21st post of 2018.)

I basically took a year off from information security. I did some limited consulting, but Mrs B paid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bills, with some support from my book royalties and consulting. This break had a very positive effect on my mental health. I stayed aware of security developments through Twitter, but I refused to speak to reporters and did not entertain job offers.

During this period I decided that I did not want to open a Krav Maga school and quit my school's instructor development program. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second time, I had quit something I had once considered very important.

I started a new project, though -- writing a book that had nothing to do with information security. I will post about it shortly, as I am finalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layout team this weekend!

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2018 I was able to consider returning to security. In May I blogged that I was joining Splunk, but that lasted only two months. I realized I had walked into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cultural and managerial mismatch. Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of that period, Seth Hall from Corelight contacted me, and by July 20th I was working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. We kept it quiet until September. I have been very happy at Corelight, finally finding an environment that matches my temperament, values, and interests.

My advice to those of you who have made it this far:

If you're feeling burnout now, you're not alone. It happens. We work in a stressful industry that will take everything that you can give, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n try to take more. It's healthy and beneficial to push back. If you can, take a break, even if it means only a partial break.

Even if you can't take a break, consider integrating non-security activities into your lifestyle -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more physical, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. Security is a very cerebral activity, often performed in a sedentary manner. You have a body and taking care of it will make your mind happier too.

If you're not feeling burnout now, I recommend preparing for a possible burnout in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous paragraphs, take steps now to be able to completely step away from security for a defined period. Save a proportion of your income to pay your bills when you're not working in security. I recommend at least a month, but up to six months if you can manage it.

This is good financial advice anyway, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event you were to lose your job. This is not an emergency fund, though -- this is a planned reprieve from burnout. We are blessed in security to make above-average salaries, so I suggest saving for retirement, saving for layoffs, and saving for burnout.

Finally, it's ok to talk to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people about this. This will likely be a private conversation. I don't see too many people saying "I'm burned out!" on Twitter or in a blog post. I only felt comfortable writing this post months after I returned to regular security work.

I'm very interested in hearing what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have to say on this topic. Replying to my Twitter announcement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest step. I moderate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments here and might not get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in a timely manner.

Tuesday, December 18, 2018

The Origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quote "There Are Two Types of Companies"

While listening to a webcast this morning, I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker mention

There are two types of companies: those who have been hacked, and those who don’t yet know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have been hacked.

He credited Cisco CEO John Chambers but didn't provide any source.

That didn't sound right to me. I could think of two possible antecedents. so I did some research. I confirmed my memory and would like to present what I found here.

John Chambers did indeed offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous quote, in a January 2015 post for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World Economic Forum titled What does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet of Everything mean for security? Unfortunately, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Mr Chambers nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who likely wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article for him decided to credit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of this quote.

Before providing proper credit for this quote, we need to decide what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quote actually says. As noted in this October 2015 article by Frank Johnson titled Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really only “two kinds of enterprises”?, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are really (at least) two versions of this quote:

A popular meme in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security industry is, “There are only two types of companies: those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’ve been compromised, and those that don’t know.”

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second is like unto it: “There are only two kinds of companies: those that have been hacked, and those that will be.”

We see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first is a version of what Mr Chambers said. Let's call that 2-KNOW. The second is different. Let's call that 2-BE.

The first version, 2-KNOW, can be easily traced and credited to Dmitri Alperovitch. He stated this proposition as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publicity around his Shady RAT report, written while he worked at McAfee. For example, this 3 August 2011 story by Ars Technica, Operation Shady RAT: five-year hack attack hit 14 countries, quotes Dmitri in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

So widespread are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks that Dmitri Alperovitch, McAfee Vice President of Threat Research, said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only companies not at risk are those who have nothing worth taking, and that of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's biggest firms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are just two kinds: those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been compromised, and those that still haven't realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been compromised.

Dmitri used slightly different language in this popular Vanity Fair article from September 2011, titled Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber-Dragon:

Dmitri Alperovitch, who discovered Operation Shady rat, draws a stark lesson: “There are only two types of companies—those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’ve been compromised, and those that don’t know. If you have anything that may be valuable to a competitor, you will be targeted, and almost certainly compromised.”

No doubt former FBI Director Mueller read this report (and probably spoke with Dmitri). He delivered a speech at RSA on 1 March 2012 that introduced question 2-BE into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lexicon, plus a little more:

For it is no longer a question of “if,” but “when” and “how often.”

I am convinced that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only two types of companies: those that have been hacked and those that will be. 

And even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are converging into one category: companies that have been hacked and will be hacked again.  

Here we see Mr Mueller morphing Dmitri's quote, 2-KNOW, into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second, 2-BE. He also introduced a third variant -- "companies that have been hacked and will be hacked again." Let's call this version 2-AGAIN.

The very beginning of Mr Mueller's quote is surely a play on Kevin Mandia's long-term commitment to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitability of compromise. However, as far as I could find, Kevin did not use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "two companies" language.

One article that mentions version 2-KNOW and Kevin is this December 2014 Ars Technica article titled “Unprecedented” cyberattack no excuse for Sony breach, pros say. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article is merely citing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r statements by Kevin along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aphorism of version 2-KNOW.

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a fourth version introduced by Mr Mueller's successor, James Comey, as well! In a 6 October 2014 story, FBI Director: China Has Hacked Every Big US Company Mr Comey said:

Speaking to CBS' 60 Minutes, James Comey had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following to say on Chinese hackers: 

There are two kinds of big companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. There are those who've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese and those who don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese.

Let's call this last variant 2-CHINA.

To summarize, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are four versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "two companies" quote:

  • 2-KNOW, credited to Dmitri Alperovitch in 2011, says "There are only two types of companies—those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’ve been compromised, and those that don’t know."
  • 2-BE, credited to Robert Mueller in 2012, says "[T]here are only two types of companies: those that have been hacked and those that will be."
  • 2-AGAIN, credited to Robert Mueller in 2012, says "[There are only two types of companies:] companies that have been hacked and will be hacked again."
  • 2-CHINA, credited to James Comey in 2014, says "There are two kinds of big companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. There are those who've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese and those who don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese."
Now you know!


Sunday, November 25, 2018

The Origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Term Indicators of Compromise (IOCs)

I am an historian. I practice digital security, but I earned a bachelor's of science degree in history from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy. (1)

Historians create products by analyzing artifacts, among which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 written word.

In my last post, I talked about IOCs, or indicators of compromise. Do you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term? I thought I did, but I wanted to rely on my historian's methodology to invalidate or confirm my understanding.

I became aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" as an element of indications and warning (I&W), when I attended Air Force Intelligence Officer's school in 1996-1997. I will return to this shortly, but I did not encounter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in a digital security context until I encountered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of Kevin Mandia.

In August 2001, shortly after its publication, I read Incident Response: Investigating Computer Crime, by Kevin Mandia, Chris Prosise, and Matt Pepe (Osborne/McGraw-Hill). I was so impressed by this work that I managed to secure a job with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company, Foundstone, by April 2002. I joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foundstone incident response team, which was led by Kevin and consisted of Matt Pepe, Keith Jones, Julie Darmstadt, and me.

I Tweeted earlier today that Kevin invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR context) in that 2001 edition, but a quick review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard copy in my library does not show its usage, at least not prominently. I believe we were using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office but that it had not appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2001 book. Documentation would seem to confirm that, as Kevin was working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR book (to which I contributed), and that version, published in 2003, features cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in multiple locations.

In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators of compromise," appearing in print in a digital security context, appears on page 280 in Incident Response & Computer Forensics, 2nd Edition.


From ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators" in that IR book, you can observe that IOC wasn't a formal, independent concept at this point, in 2003. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same excerpt above you see "indicators of attack" mentioned.

The first citation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 book shows it is meant as an investigative lead or tip:


Did I just give up my search at this point? Of course not.

If you do time-limited Google searches for "indicators of compromise," after weeding out patent filings that reference later work (from FireEye, in 2013), you might find this document, which concludes with this statement:

Indicators of compromise are from Lynn Fischer, Lynn, "Looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unexpected," Security Awareness Bulletin, 3-96, 1996. Richmond, VA: DoD Security Institute.

Here cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of a person with a security clearance.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same spirit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest reference to "indicator" in a security-specific, detection-oriented context appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patent Method and system for reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of infection of a communications network by a software worm (6 Dec 2002). Stuart Staniford is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead author; he was later chief scientist at FireEye, although he left before FireEye acquired Mandiant (and me).

While Kevin, et al were publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IR book in 2003, I was writing my first book, The Tao of Network Security Monitoring. I began chapter two with a discussion of indicators, inspired by my Air Force intelligence officer training in I&W and Kevin's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term at Foundstone.

You can find chapter two in its entirety online. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter I also used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators of compromise," in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit Kevin used it; but again, it was not yet a formal, independent term.

My book was published in 2004, followed by two more in rapid succession.

The term "indicators" didn't really make a splash until 2009, when Mike Cloppert published a series on threat intelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber kill chain. The most impactful in my opinion was Security Intelligence: Attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Kill Chain. Mike wrote:


I remember very much enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Kill Chain was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspect that had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community. Mike does not say "IOC" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post. Where he does say "compromise," he's using it to describe a victimized computer.

The stage is now set for seeing indicators of compromise in a modern context. Drum roll, please!

The first documented appearance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term indicators of compromise, or IOCs, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern context, appears in basically two places simultaneously, with ultimate credit going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same organziation: Mandiant.

The first Mandiant M-Trends report, published on 25 Jan 2010, provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following description of IOCs on page 9:


The next day, 26 Jan 2010, Matt Frazier published Combat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT by Sharing Indicators of Compromise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant blog. Matt wrote to introduce an XML-based instantiation of IOCs, which could be read and created using free Mandiant tools.


Note how complicated Matt's IOC example is. It's not a file hash (alone), or a file name (alone), or an IP address, etc. It's a Boolean expression of many elements. You can read in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text that this original IOC definition rejects what some commonly consider "IOCs" to be. Matt wrote:

Historically, compromise data has been exchanged in CSV or PDFs laden with tables of "known bad" malware information - name, size, MD5 hash values and paragraphs of imprecise descriptions... (emphasis added)

On a related note, I looked for early citations of work on defining IOCs, and found a paper by Simson Garfinkel, well-respected forensic analyst. He gave credit to Matt Frazier and Mandiant, writing in 2011:

Frazier (2010) of MANDIANT developed Indicators of Compromise (IOCs), an XML-based language designed to express signatures of malware such as files with a particular MD5 hash value, file length, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of particular registry entries. There is a free editor for manipulating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML. MANDIANT has a tool that can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IOCs to scan for malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called “Advanced Persistent Threat.”

Starting in 2010, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate was initially about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format for IOCs, and how to produce and consume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. We can see in this written evidence from 2010, however, a definition of indicators of compromise and IOCs that contains all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements that would be recognized in current usage.

tl;dr Mandiant invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term indicators of compromise, or IOCs, in 2010, building off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator," introduced widely in a detection context by Kevin Mandia, no later than his 2003 incident response book.

(1) Yes, a BS, not a BA -- thank you USAFA for 14 mandatory STEM classes.

Saturday, November 24, 2018

Even More on Threat Hunting

In response to my post More on Threat Hunting, Rob Lee asked:

[D]o you consider detection through ID’ing/“matching” TTPs not hunting?

To answer this question, we must begin by clarifying "TTPs." Most readers know TTPs to mean tactics, techniques and procedures, defined by David Bianco in his Pyramid of Pain post as:

How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary goes about accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, from reconnaissance all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way through data exfiltration and at every step in between.

In case you've forgotten David's pyramid, it looks like this.


It's important to recognize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid consists of indicators of compromise (IOCs). David uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in his original post, but his follow-up post from his time at Sqrrl makes this clear:

There are a wide variety of IoCs ranging from basic file hashes to hacking Tactics, Techniques and Procedures (TTPs). Sqrrl Security Architect, David Bianco, uses a concept called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain to categorize IoCs. 

At this point it should be clear that I consider TTPs to be one form of IOC.

In The Practice of Network Security Monitoring, I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following workflow:

You can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second column that I define hunting as "IOC-free analysis." On page 193 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I wrote:

Analysis is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of identifying and validating normal, suspicious, and malicious activity. IOCs expedite this process. Formally, IOCs are manifestations of observable or discernible adversary actions. Informally, IOCs are ways to codify adversary activity so that technical systems can find intruders in digital evidence...

I refer to relying on IOCs to find intruders as IOC-centric analysis, or matching. Analysts match IOCs to evidence to identify suspicious or malicious activity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings.

Matching is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to find intruders. More advanced NSM operations also pursue IOC-free analysis, or hunting. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term hunter-killer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. Security experts performed friendly force projection on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks, examining data and sometimes occupying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in order to find advanced threats. 

Today, NSM professionals like David Bianco and Aaron Wade promote network “hunting trips,” during which a senior investigator with a novel way to detect intruders guides junior analysts through data and systems looking for signs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. 

Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunters incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into a CIRT’s IOC-centric operations. (emphasis added)

Let's consider Chris Sanders' blog post titled Threat Hunting for HTTP User Agents as an example of my definition of hunting. 

I will build a "hunting profile" via excerpts (in italics) from his post:

Assumption: "Attackers frequently use HTTP to facilitate malicious network communication."

Hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis: If I find an unusual user agent string in HTTP traffic, I may have discovered an attacker.

Question: “Did any system on my network communicate over HTTP using a suspicious or unknown user agent?”

Method: "This question can be answered with a simple aggregation wherein cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user agent field in all HTTP traffic for a set time is analyzed. I’ve done this using Sqrrl Query Language here:

SELECT COUNT(*),user_agent FROM HTTPProxy GROUP BY user_agent ORDER BY COUNT(*) ASC LIMIT 20

This query selects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user_agent field from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTPProxy data source and groups and counts all unique entries for that field. The results are sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 count, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least frequent occurrences at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top."

Results: Chris offers advice on how to interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various user agent strings produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical part: Chris did not say "look for *this user agent*. He offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader an assumption, a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, a question, and a method. It is up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. This, for me, is true hunting.

If Chris had instead referred users to this list of malware user agents (for example) and said look for "Mazilla/4.0", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I consider that manual (human) matching. If I created a Snort or Suricata rule to look for that user agent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I consider that automated (machine) matching.

This is where my threat hunting definition likely diverges from modern practice. Analyst Z sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of Chris' hunt and thinks "Chris found user agent XXXX to be malicious, so I should go look for it." Analyst Z queries his or her data and does or does not find evidence of user agent XXXX.

I do not consider analyst Z's actions to be hunting. I consider it matching. There is nothing wrong with this. In fact, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of hunting is to provide new inputs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matching process, so that future hunting trips can explore new assumptions, hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ses, questions, and methods, and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machines do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matching on IOCs already found to be suggestive of adversary activity. This is why I wrote in my 2013 book "Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunters incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into a CIRT’s IOC-centric operations."

The term "hunting" is a victim of its own success, with emotional baggage. We defenders have finally found a way to make "blue team" work appealing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wider security community. Vendors love this new way to market cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. "If you're not hunting, are you doing anything useful?" one might ask.

Compared to "I'm threat hunting!" (insert chest beating), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative, "I'm matching!" (womp womp), seems sad. 

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, we must remember that threat hunting methodologies were invented to find adversary activity for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no IOCs. Hunting was IOC-free analysis because we didn't know what to look for. Once you know what to look for, you are matching. Both forms of detection require analysis to validate adversary activity, of course. Let's not forget that.

I'm also very thankful, however it's defined or packaged, that people are excited to search for adversary activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r via matching or hunting. It's a big step from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of 10 years ago, which had a "prevention works" milieu.

tl;dr Because TTPs are a form of IOC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n detection via matching IOCs is a form of matching, and not hunting.

Friday, November 23, 2018

More on Threat Hunting

Earlier this week hellor00t asked via Twitter:

Where would you place your security researchers/hunt team?

I replied:

For me, "hunt" is just a form of detection. I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to build a "hunt" team. IR teams detect intruders using two major modes: matching and hunting. Junior people spend more time matching. Senior people spend more time hunting. Both can and should do both functions.

This inspired Rob Lee to blog a response, from which I extract his core argument:

[Hunting] really isn’t, to me, about detecting threats...

Hunting is a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis-led approach to testing your environment for threats. The purpose, to me, is not in finding threats but in determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

In short, hunting, to me, is a way to assess your security (people, process, and technology) against threats while extending your automation footprint to better be prepared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Or simply stated, it’s incident response without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident that’s done with a purpose and contributes something. 

As background for my answer, I recommend my March 2017 post The Origin of Threat Hunting, which cites my article "Become a Hunter," published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine. I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunting," I give credit to briefers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and NSA who, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s briefed "hunter-killer" missions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD.

As a comment to that post, Tony Sager, who ran NSA VAO at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I was briefed at ReBl, described hunting thus:

[Hunting] was an active and sustained search for Attackers...

For us, "Hunt" meant a very planned and sustained search, taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing infrastructure of Red/Blue Teams and COMSEC Monitoring, as well as intelligence information to guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search. 

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice of hunting, as I experienced it, I give credit to our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- who took junior analysts on "hunting trips," starting in 2008-2009.

It is very clear, to me, that hunting has always been associated with detecting an adversary, not "determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m," as characterized by Rob.

For me, Rob is describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of an enterprise visibility architect, which I described in a 2007 post:

[W]e are stuck with numerous platforms, operating systems, applications, and data (POAD) for which we have zero visibility. 

I suggest that enterprises consider hiring or assigning a new role -- Enterprise Visibility Architect. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA is to identify visibility deficiencies in existing and future POAD and design solutions to instrument cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

A primary reason to hire an enterprise visibility architect is to build visibility in, which I described in several posts, including this one from 2009 titled Build Visibility In. As a proponent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitor first" school, I will always agree that it is important to identify and address visibility gaps.

So where do we go from here?

Tony Sager, as one of my wise men, offers sage advice at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion of his comment:

"Hunt" emerged as part of a unifying mission model for my Group in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Assurance Directorate at NSA (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive mission) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-late 2000's. But it was also a way to unify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between IA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIGINT mission - intelligence as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver for Hunting. The marketplace, of course, has now brought its own meaning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term, but I just wanted to share some history. 

In my younger days I might have expressed much more energy and emotion when encountering a different viewpoint. At this point in my career, I'm more comfortable with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r points of view, so long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not result in harm, or a waste of my taxpayer dollars, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r clearly negative consequences. I also appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind words Rob offered toward my point of view.

tl;dr I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition and practice of hunting has always been tied to adversaries, and that Rob describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of an enterprise visibility architect when he focuses on visibility gaps racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than adversary activity.

Update 1: If in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of conducting a hunt you identify a visibility or resistance deficiency, that is indeed beneficial. The benefit, however, is derivative. You hunt to find adversaries. Identifying gaps is secondary although welcome.

The same would be true of hunting and discovering misconfigured systems, or previously unidentified assets, or unpatched software, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r myriad facts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground that manifest when one applies Clausewitz's directed telescope towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computing environment.

Tuesday, September 11, 2018

Twenty Years of Network Security Monitoring: From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT to Corelight

I am really fired up to join Corelight. I’ve had to keep my involvement with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team a secret since officially starting on July 20th. Why was I so excited about this company? Let me step backwards to help explain my present situation, and forecast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Twenty years ago this month I joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-Kelly Air Force Base, located in hot but lovely San Antonio, Texas. I was a brand new captain who thought he knew about computers and hacking based on experiences from my teenage years and more recent information operations and traditional intelligence work within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Intelligence Agency. I was desperate to join any part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-five-year-old Information Warfare Center (AFIWC) because I sensed it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most exciting unit on “Security Hill.”

I had misjudged my presumed level of “hacking” knowledge, but I was not mistaken about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exciting life of an AFCERT intrusion detector! I quickly learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tenets of network security monitoring, enabled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom software watching and logging network traffic at every Air Force base. I soon heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were three organizations that intruders knew to be wary of in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fort, i.e. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, thanks to our Automated Security Incident Measurement (ASIM) operation; and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of California, Berkeley, because of a professor named Vern Paxson and his Bro network security monitoring software.

When I wrote my first book in 2003-2004, The Tao of Network Security Monitoring, I enlisted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of Christopher Jay Manders to write about Bro 0.8. Bro had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reputation of being very powerful but difficult to stand up. In 2007 I decided to try installing Bro myself, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “brolite” scripts shipped with Bro 1.2.1. That made Bro easier to use, but I didn’t do much analysis with it until I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 Bro hands-on workshop. There I met Vern, Robin Sommer, Seth Hall, Christian Kreibich, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Bro users and developers. I was lost most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, saved only by my knowledge of standard Unix command line tools like sed, awk, and grep! I was able to integrate Bro traffic analysis and logs into my TCP/IP Weapons School 2.0 class, and subsequent versions, which I taught mainly to Black Hat students. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I wrote my last book, The Practice of Network Security Monitoring, in 2013, I was heavily relying on Bro logs to demonstrate many sorts of network activity, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-fidelity nature of Bro data.

In July of this year, Seth Hall emailed to ask if I might be interested in keynoting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming Bro users conference in Washington, D.C., on October 10-12. I was in a bad mood due to being unhappy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job I had at that time, and I told him I was useless as a keynote speaker. I followed up with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r message shortly after, explained my depressed mindset, and asked how he liked working at Corelight. That led to interviews with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Corelight team and a job offer. The opportunity to work with people who really understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for network security monitoring, and were writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world’s most powerful software to generate NSM data, was so appealing! Now that I’m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, I can share how I view Corelight’s contribution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security challenges we face.

For me, Corelight solves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I encountered all those years ago when I first looked at Bro. The Corelight embodiment of Bro is ready to go when you deploy it. It’s developed and maintained by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, Bro is front and center, not buried behind someone else’s logo. Why buy this amazing capability from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company when you can work with those who actually conceptualize, develop, and publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code?

It’s also not just Bro, but it’s Bro at ridiculous speeds, ingesting and making sense of complex network traffic. We regularly encounter open source Bro users who spend weeks or months struggling to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir open source deployments to run at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speeds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need, typically in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tens or hundreds of Gbps. Corelight’s offering is optimized at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware level to deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest performance, and our team works with customers who want to push Bro to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 even greater levels. 

Finally, working at Corelight gives me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to take NSM in many exciting new directions. For years we NSM practitioners have worried about challenges to network-centric approaches, such as encryption, cloud environments, and alert fatigue. At Corelight we are working on answers for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual approaches — SSL termination, cloud gateways, and SIEM/SOAR solutions. We will have more to say about this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, I’m happy to say!

What challenges do you hope Corelight can solve? Leave a comment or let me know via Twitter to @corelight_inc or @taosecurity.

Sunday, July 22, 2018

Defining Counterintelligence

I've written about counterintelligence (CI) before, but I realized today that some of my writing, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, may be confused as to exactly what CI means.

The authoritative place to find an American definition for CI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States National Counterintelligence and Security Center. I am more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old name of this organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365  Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive (ONCIX).

The 2016 National Counterintelligence Strategy cites Executive Order 12333 (as amended) for its definition of CI:

Counterintelligence – Information gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red and activities conducted to identify, deceive,
exploit, disrupt, or protect against espionage, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intelligence activities, sabotage, or assassinations conducted for or on behalf of foreign powers, organizations, or persons, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agents, or international terrorist organizations or activities. (emphasis added)

The strict interpretation of this definition is countering foreign nation state intelligence activities, such as those conducted by China's Ministry of State Security (MSS), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foreign Intelligence Service of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Federation (SVR RF), Iran's Ministry of Intelligence, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military intelligence services of those countries and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, counterintelligence is countering foreign intelligence. The focus is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad things, and less on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad thing is.

The definition, however, is loose enough to encompass ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs; "organizations," "persons," and "international terrorist organizations" are in scope, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition. This is just about everyone, although criminals are explicitly not mentioned.

The definition is also slightly unbounded by moving beyond "espionage, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intelligence activities," to include "sabotage, or assassinations." In those cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions is that foreign intelligence agencies and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir proxies are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties likely to be conducting sabotage or assassinations. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CI work, paying attention to foreign intelligence agents, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CI team may encounter plans for activities beyond collection.

The bottom line for this post is a cautionary message. It's not appropriate to call all intelligence activities "counterintelligence." It's more appropriate to call countering adversary intelligence activities counterintelligence.

You may use similar or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same approaches as counterintelligence agents when performing your cyber threat intelligence function. For example, you may recruit a source inside a carding forum, or you may plant your own source in a carding forum. This is similar to turning a foreign intelligence agent, or inserting your own agent in a foreign intelligence service. However, activities directing against a carding forum are not counterintelligence. Activities directing against a foreign intelligence service are counterintelligence.

The nature and target of your intelligence activities are what determine if it is counterintelligence, not necessarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods you use. Again, this is in keeping with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stricter definition, and not becoming a victim of scope creep.


Thursday, June 28, 2018

Why Do SOCs Look Like This?

When you hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "SOC," or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "security operations center," what image comes to mind? Do you think of analyst sitting at desks, all facing forward, towards giant screens? Why is this?

The following image is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outstanding movie Apollo 13, a docudrama about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenged 1970 mission to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moon.


It's a screen capture from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 go for launch sequence. It shows mission control in Houston, Texas. If you'd like to see video of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual center from 1970, check out This Is Mission Control.

Mission control looks remarkably like a SOC, doesn't it? When builders of computer security operations centers imagined what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "mission control" rooms would look like, perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had Houston in mind?

Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1983 movie War Games?


Reality was way more boring however:


I visited NORAD under Cheyenne Mountain in 1989, I believe, when visiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy as a high school senior. I can confirm it did not look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie depiction!

Let's return to mission control. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources available to personnel manning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission control room. The big screens depict two main forms of data: telemetry and video of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rocket. What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual screens, where people sit? They are largely customized. Each station presents data or buttons specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person sitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Listen to Ed Harris' character calling out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stations: booster, retro, vital, etc. For example:


This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key differences between mission control and any modern computerized operations center. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s and 1970s, workstations (literally, places where people worked) had to be customized. They lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology to have generic workstations where customization was done via screen, keyboard, and mouse. They also lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to display video on demand, and relied on large television screens. Personnel with specific functions sat at specific locations, because that was literally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advent of modern computing, every workstation is instantly customizable. There is no need to specialize. Anyone can sit anywhere, assuming computers allow one's workspace to follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir logon. In fact, modern computing allows a user to sit in spaces outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office. A modern mission control could be distributed.

With that in mind, what does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version of mission control look like? Here is a picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern Johnson Space Center's mission control room.



It looks similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s-1970s version, except it's dominated by screens, keyboards, and mice.

What strikes me about every image of a "SOC" that I've ever seen is that no one is looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big screens. They are almost always deployed for an audience. No one in an operational role looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

There are exceptions. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arizona Department of Transportation operations center.


Their "big screen" is a composite of 24 smaller screens showing traffic and roadways. No one is looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen, but that sort of display is perfect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human eye.

It's a variant of Edward Tufte's "small multiple" idea. There is no text. The eye can discern if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a lot of traffic, or little traffic, or an accident pretty easily. It's likely more for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of an audience, but it works decently well.

Compare those screens to what one is likely to encounter in a cyber SOC. In addition to a "pew pew" map and a "spinning globe of doom," it will likely look like this, from R3 Cybersecurity:


The big screens are a waste of time. No one is standing near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. No one sitting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workstations can read what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screens show. They are purely for an audience, who can't discern what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

The bottom line for this post is that if you're going to build a "SOC," don't build it based on what you've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movies, or in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries, or what a consultancy recommends. Spend some time determining your SOC's purpose, and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical setting. You may determine you don't even need a "SOC," eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically or logically, based on maturing understandings of a SOC's mission. That's a topic for a future post!

Monday, June 25, 2018

Bejtlich on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 Report: No Hack Back

Before reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of this post, I suggest reading Mandiant/FireEye's statement Doing Our Part -- Without Hacking Back.

I would like to add my own color to this situation.

First, at no time when I worked for Mandiant or FireEye, or afterwards, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ever a notion that we would hack into adversary systems. During my six year tenure, we were publicly and privately a "no hack back" company. I never heard anyone talk about hack back operations. No one ever intimated we had imagery of APT1 actors taken with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own laptop cameras. No one even said that would be a good idea.

Second, I would never have testified or written, repeatedly, about our company's stance on not hacking back if I knew we secretly did ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. I have quit jobs because I had fundamental disagreements with company policy or practice. I worked for Mandiant from 2011 through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2013, when FireEye acquired Mandiant, and stayed until last year (2017). I never considered quitting Mandiant or FireEye due to a disconnect between public statements and private conduct.

Third, I was personally involved with briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press, in public and in private, concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report. I provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voiceover for a 5 minute YouTube video called APT1: Exposing One of China's Cyber Espionage Units. That video was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, aspects of releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. We showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world how we could intercept adversary communications and reconstruct it. There was internal debate about whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r we should do that. We decided to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, as Christopher Glyer Tweeted:


In none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press did we show pictures or video from adversary laptops. We did show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video that we published to YouTube.

Fourth, I privately contacted former Mandiant personnel with whom I worked during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report creation and distribution. Their reaction to Mr Sanger's allegations ranged from "I've never heard of that" to "completely false." I asked former Mandiant colleagues, like myself, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that current Mandiant or FireEye employees were told not to talk to outsiders about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.

What do I think happened here? I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory that Mr Sanger misinterpreted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconstructed RDP sessions for some sort of "camera access." I have no idea about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bros" or "leacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r jackets" comments!

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of full disclosure, prior to publication, Mr Sanger tried to reach me to discuss his book via email. I was sick and told him I had to pass. Ellen Nakashima also contacted me; I believe she was doing research for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. She asked a few questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT, which I answered. I do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book so I do not know if I am cited, or if my message was included.

The bottom line is that Mandiant and FireEye did not conduct any hack back for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report.

Update: Some of you wondered about Ellen's role. I confirmed last night that she was working on her own project.

Sunday, January 14, 2018

Remembering When APT Became Public

Last week I Tweeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8th anniversary of Google's blog post about its compromise by Chinese threat actors:

This intrusion made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT mainstream. I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to associate it with Aurora, in this post 

https://taosecurity.blogspot.com/2010/01/google-v-china.html

My first APT post was a careful reference in 2007, when we all feared being accused of "leaking classified" re China: 

https://taosecurity.blogspot.com/2007/10/air-force-cyberspace-report.html

I should have added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "publicly" to my original Tweet. There were consultants with years of APT experience involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google incident response, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of APT17 at that company and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Those consultants honored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NDAs and have stayed quiet.

I wrote my original Tweet as a reminder that "APT" was not a popular, recognized term until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google announcement on 12 January 2010. In my Google v China blog post I wrote:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party, Google. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "advanced persistent threat" (APT) if you want to give this adversary its proper name.

I also Tweeted a similar statement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same day:

This is horrifying: http://bit.ly/7x7vVW Google admits intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft from China; it's called Advanced Persistent Threat, GOOG

I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explicit link of China and APT because no one had done that publicly.

This slide from a 2011 briefing I did in Hawaii captures a few historical points:


The Google incident was a watershed, for reasons I blogged on 16 January 2010. I remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS DFIR 2008 event as effectively "APTCon," but beyond Mandiant, Northrup Grumman, and NetWitness, no one was really talking publicly about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT until after Google.

As I noted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July 2009 blog post, You Down With APT? (ugh):

Aside from Northrup Grumman, Mandiant, and a few vendors (like NetWitness, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full capture vendors out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re) mentioning APT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not much else available. A Google search for "advanced persistent threat" -netwitness -mandiant -Northrop yields 34 results (prior to this blog post). (emphasis added)

Today that search yields 244,000 results.

I would argue we're "past APT." APT was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buzzword for RSA and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor-centric events from, say, 2011-2015, with 2013 being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peak following Mandiant's APT1 report.

The threat hasn't disappeared, but it has changed. I wrote my Tweet to mark a milestone and to note that I played a small part in it.

All my APT posts here are reachable by this APT tag. Also see my 2010 article for Information Security Magazine titled What APT Is, and What It Isn't.

Monday, December 04, 2017

On "Advanced" Network Security Monitoring

My TaoSecurity News page says I taught 41 classes lasting a day or more, from 2002 to 2014. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se involved some aspect of network security monitoring (NSM). Many times students would ask me when I would create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, usually in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course feedback. I could never answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, so I decided to do so in this blog post.

The short answer is this: at some point, advanced NSM is no longer NSM. If you consider my collection - analysis - escalation - response model, NSM extensions from any of those phases quickly have little or nothing to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.

Here are a few questions I have received concerned "advanced NSM," paired with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers I could have provided.

Q: "I used NSM to extract a binary from network traffic. What do I do with this binary?"

A: "Learn about reverse engineering and binary analysis."

Or:

Q: "I used NSM to extra Javascript from a malicious Web page. What do I do with this Javascript?"

A: "Learn about Javascript de-obfuscation and programming."

Or:

Q: "I used NSM to capture an exchange between a Windows client and a server. What does it mean?"

A: "Learn about Server Message Block (SMB) or Common Internet File System (CIFS)."

Or:

Q: "I used NSM to capture cryptographic material exchanged between a client and a server. How do I understand it?"

A: "Learn about cryptography."

Or:

Q: "I used NSM to grab shell code passed with an exploit against an Internet-exposed service. How do I tell what it does?"

A: "Learn about programming in assembly."

Or:

Q: "I want to design custom hardware for packet capture. How do I do that?"

A: "Learn about programming ASICs (application specific integrated circuits)."

I realized that I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of all of this "advanced NSM" material in my library. I had books on reverse engineering and binary analysis, Javascript, SMB/CIFS, cryptography, assembly programming, ASICs, etc.

The point is that eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM road takes you to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber security landscape.

Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re *any* advanced area for NSM? One could argue that protocol analysis, as one finds in tools like Bro, Suricata, Snort, Wireshark, and so on constitute advanced NSM. However, you could just as easily argue that protocol analysis becomes more about understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programming and standards behind each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols.

In brief, to learn advanced NSM, expand beyond NSM.

Monday, May 08, 2017

Latest Book Inducted into Cybersecurity Canon

Thursday evening Mrs B and I were pleased to attend an awards seminar for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity Canon. This is a project sponsored by Palo Alto Networks and led by Rick Howard. The goal is "identify a list of must-read books for all cybersecurity practitioners."

Rick reviewed my fourth book The Practice of Network Security Monitoring in 2014 and someone nominated it for consideration in 2016. I was unaware earlier this year that my book was part of a 32-title "March Madness" style competition. My book won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five rounds, resulting in its conclusion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2017 inductee list! Thank you to all those that voted for my book.

Ben Rothke awarded me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Canon trophy.
Ben Rothke interviewed me prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 induction ceremony. We discussed some current trends in security and some lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. I hope to see that interviewed published by Palo Alto Networks and/or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity canon project in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future.

In my acceptance speech I explained how I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book because I had not yet dedicated a book to my youngest daughter, since she was born after my third book was published.

A teaching moment at Black Hat Abu Dhabi in December 2012 inspired me to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. While teaching network security monitoring, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students asked "but where do I install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .exe on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server?"

I realized this student had no idea of physical access to a wire, or using a system to collect and store network traffic, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fundamental concepts inherent to NSM. He thought NSM was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r magical software package to install on his domain controller.

Four foreign language editions.
Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interpretation assistance of a local Arabic speaker, I was able to get through to him. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience convinced me that I needed to write a new book that built NSM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up, hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection of topics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order in which I presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

While my book has not (yet?) been translated into Arabic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two Chinese language editions, a Korean edition, and a Polish edition! I also know of several SOCs who provide a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to all incoming analysts. The book is also a text in several college courses.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book remains relevant for anyone who wants to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM methodology to detect and respond to intrusions. While network traffic is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example data source used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM methodology is data source agnostic.

In 2002 Bamm Visscher and I defined NSM as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions." This definition makes no reference to network traffic.

It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection-analysis-escalation framework that matters. You could perform NSM using log files, or host-centric data, or whatever else you use for indications and warning.

I have no plans for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cybersecurity book. I am currently editing a book about combat mindset written by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head instructor of my Krav Maga style and his colleague.
Thanks for asking for an autograph!

Palo Alto hosted a book signing and offered free books for attendees. I got a chance to speak with Steven Levy, whose book Hackers was also inducted. I sat next to him during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book signing, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture at right.

Thank you to Palo Alto Networks, Rick Howard, Ben Rothke, and my family for making inclusion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity Canon possible. The awards dinner was a top-notch event. Mrs B and I enjoyed meeting a variety of people, including students in local cybersecurity degree programs.

I closed my acceptance speech with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Old Testament, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very end of 2nd Maccabees. It captures my goal when writing books:

"So I too will here end my story. If it is well told and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, that is what I myself desired; if it is poorly done and mediocre, that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best I could do."

If you'd like a copy of The Practice of Network Security Monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best deal is to buy print and electronic editions from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher's Web site. Use code NSM101 to save 30%. I like having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 print version for easy review, and I carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital copy on my tablet and phone.

Thank you to everyone who voted and who also bought a copy of my book!

Update: I forgot to thank Doug Burks, who created Security Onion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software used to demonstrate NSM in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Doug also contributed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appendix explaining certain SO commands. Thank you Doug! Also thank you to Bill Pollack and his team at No Starch Press, who edited and published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book!

Thursday, March 23, 2017

Five Reasons I Want China Running Its Own Software

Periodically I read about efforts by China, or Russia, or North Korea, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries to replace American software with indigenous or semi-indigenous alternatives. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reply via Twitter that I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea, with a short reason why. This post will list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top five reasons why I want China and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r likely targets of American foreign intelligence collection to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own software.

1. Many (most?) non-US software companies write lousy code. The US is by no means perfect, but our developers and processes generally appear to be superior to foreign indigenous efforts. Cisco vs Huawei is a good example. Cisco has plenty of problems, but it has processes in place to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, plus secure code development practices. Lousy indigenous code means it is easier for American intelligence agencies to penetrate foreign targets. (An example of a foreign country that excels in writing code is Israel, but thankfully it is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of priority target like China, Russia, or North Korea.)

2. Many (most?) non-US enterprises are 5-10 years behind US security practices. Even if a foreign target runs decent native code, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT processes maintaining that code are lagging compared to American counterparts. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has not solved this problem by any stretch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagination. However, relatively speaking, American inventory management, patch management, and security operations have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge over foreign intelligence targets. Because non-US enterprises running indigenous code will not necessarily be able to benefit from American expertise (as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were running American code), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se deficiencies will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m easier targets for foreign exploitation.

3. Foreign targets running foreign code is win-win for American intel and enterprises. The current vulnerability equities process (VEP) puts American intelligence agencies in a quandary. The IC develops a zero-day exploit for a vulnerability, say for use against Cisco routers. American and Chinese organizations use Cisco routers. Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC sit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in order to maintain access to foreign targets, or should it release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability to Cisco to enable patching and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby protect American and foreign systems?

This dilemma disappears in a world where foreign targets run indigenous software. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identifies a vulnerability in Cisco software, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of its targets run non-Cisco software, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC is more likely (or should be pushed to be more likely) to assist with patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable software. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC continues to exploit Huawei or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r products at its leisure.

4. Writing and running indigenous code is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest way to improve. When foreign countries essentially outsource cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IT to vendors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become program managers. They lose or never develop any ability to write and run quality software. Writing and running your own code will enroll foreign organizations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security school of hard knocks. American intel will have a field day for 3-5 years against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se targets, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y flail around in a perpetual state of compromise. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y devote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper native resources and attention, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mistakes. They will write and run better software. Now, this means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will become harder targets for American intel, but American intel will retain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of point 3.

5. Trustworthy indigenous code will promote international stability. Countries like China feel especially vulnerable to American exploitation. They have every reason to be scared. They run code written by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations. They don't patch it or manage it well. Their security operations stink. The American intel community could initiate a complete moratorium on hacking China, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese would still be ravaged by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries or criminal hackers, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while likely blaming American intel. They would not be able to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. This makes for a very unstable situation.

Therefore, countries like China and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are going down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indigenous software path. They understand that software, not oil as Daniel Yergen once wrote, is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "commanding heights" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy. Pursuing this course will subject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se countries to many years of pain. However, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end I believe it will yield a more stable situation. These countries should begin to perceive that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are less vulnerable. They will experience cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own vulnerability equity process. They will be more aware and less paranoid.

In this respect, indigenous software is a win for global politics. The losers, of course, are global software companies. Foreign countries will continue to make short-term deals to suck intellectual property and expertise from American software companies, before discarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of Al Gore's information highway.

One final point -- a way foreign companies could jump-start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir indigenous efforts would be to leverage open source software. I doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would necessarily honor licenses which require sharing improvements with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source community. However, open source would give foreign organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need and access to expertise that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lack. Microsoft's shared source and similar programs were a step in this direction, but I suggest foreign organizations adopt open source instead.

Now, widespread open source adoption by foreign intelligence targets would erode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantages for American intel that I explained in point 3. I'm betting that foreign leaders are likely similar to Americans in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to not trust open source, and prefer to roll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own and hold vendors accountable. Therefore I'm not that worried, from an American intel perspective, about point 3 being vastly eroded by widespread foreign open source adoption.

TeePublic is running a sale until midnight ET Thursday! Get a TaoSecurity Milnet T-shirt for yourself and a friend!


Wednesday, March 15, 2017

The Missing Trends in M-Trends 2017

FireEye released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2017 edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant M-Trends report yesterday. I've been a fan of this report since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2010 edition, before I worked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.

Curiously for a report with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "trends" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title, this and all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r editions do not publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of yearly trends I would expect. This post will address that limitation.

The report is most famous for its "dwell time" metric, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 median (not average, or "mean") number of days an intruder spends inside a target company until he is discovered.

Each report lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistic for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year in consideration, and compares it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2017 report, covering incidents from 2016, notes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dwell time has dropped from 146 days in 2015, to 99 days in 2016.

The second most interesting metric (for me) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 split between internal and external notification. Internal notification means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target organization found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion on its own. External notification means that someone else informed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target organization. The external party is often a law enforcement or intelligence agency, or a managed security services provider. The 2016 split was 53% internal vs 47% external.

How do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers look over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 M-Trends report has been published? Inquiring minds want to know.

The 2012 M-Trends report was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se statistics. I have included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for that report and all subsequent editions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table below.

Year Days Internal External
2011 416 6        94
2012 243 37       63
2013 229 33 67
2014 205 31 69
2015 146 47 53
2016 99 53 47
2017 101  62       38 (added from 2018 report after original blog)

As you can see, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers are heading in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. We are finally into double digits for dwell time, but over 3 months is still far too long. Internal detection continues to rise as well. This is a proxy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maturity of a security organization, in my opinion.

Hopefully future M-Trends reports will include tables like this.


Tuesday, March 14, 2017

The Origin of Threat Hunting

2011 Article "Become a Hunter"
The term "threat hunting" has been popular with marketers from security companies for about five years. Yesterday Anton Chuvakin asked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term.

I appear to have written cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first article describing threat hunting in any meaningful way. It was published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine and was called "Become a Hunter." I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT. Relevant excerpts include:

"To best counter targeted attacks, one must conduct counter-threat operations (CTOps). In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, defenders must actively hunt intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. These intruders can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of external threats who maintain persistence or internal threats who abuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir privileges. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hoping defenses will repel invaders, or that breaches will be caught by passive alerting mechanisms, CTOps practitioners recognize that defeating intruders requires actively detecting and responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. CTOps experts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n feed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned from finding and removing attackers into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software development lifecycle (SDL) and configuration and IT management processes to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of future incidents...

In addition to performing SOC work, CTOps requires more active, unstructured, and creative thoughts and approaches. One way to characterize this more vigorous approach to detecting and responding to threats is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunting.” In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunter-killer” for a missions whereby teams of security experts performed “friendly force projection” on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. They combed through data from systems and in some cases occupied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in order to find advanced threats. The concept of “hunting” (without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slightly more aggressive term “killing”) is now gaining ground in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian world.

2013 Book "The Practice of NSM"
If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC is characterized by a group that reviews alerts for signs of intruder action, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT is recognized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that senior analysts are taking junior analysts on “hunting trips.” A senior investigator who has discovered a novel or clever way to possibly detect intruders guides one or more junior analysts through data and systems looking for signs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunting team should work to incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeatable processes used by SOC-type analysts. This idea of developing novel methods, testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild, and operationalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to fighting modern adversaries."

The "hunting trips" I mentioned were activities that our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- were conducting. Aaron in particular was a driving force for hunting methodology.

I also discussed hunting in chapter 9 of my 2013 book The Practice of Network Security Monitoring, contrasting it with "matching" as seen in figure 9-2. (If you want to save 30% off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book at No Starch, use discount code "NSM101.")

The question remains: from where did I get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunt"? My 2011 article stated "In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunter-killer." My friend Doug Steelman, a veteran of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, NSA, and Cyber Command, provided a piece of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle on Twitter. He posted a link to a 2009 presentation by former NSA Vulnerability and Analysis Operations (VAO) chief Tony Sager, a friend of this blog.

July 2009 Presentation by Tony Sager
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s I was attending an annual conference held by NSA called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium, or ReBl for short. ReBl took place over a week's time at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD. If you Google for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference you will likely find WikiLeaks emails from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HBGary breach.

It was a mix of classified and unclassified presentations on network defense. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se presentations I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "APT" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. I also likely heard about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" missions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force was conducting, in addition to probably hearing Tony Sager's presentation mentioning a "hunt" focus.

That is as far back as I can go, but at least we have a decent understanding where I most likely first heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat hunting" in use by practitioners. Happy hunting!

Thursday, February 09, 2017

Bejtlich Books Explained

A reader asked me to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between two of my books. I decided to write a public response.

If you visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity Books page, you will see two different types of books. The first type involves books which list me as author or co-author. The second involves books to which I have contributed a chapter, section, or foreword.

This post will only discuss books which list me as author or co-author.

In July 2004 I published The Tao of Network Security Monitoring: Beyond Intrusion Detection. This book was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of everything I had learned since 1997-98 regarding detecting and responding to intruders, primarily using network-centric means. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complete examination of NSM philosophy available. I am particularly happy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM history appendix. It cites and summarizes influential computer security papers over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four decade history of NSM to that point.

The main problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao is that certain details of specific software versions are very outdated. Established software like Tcpdump, Argus, and Sguil function much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core NSM data types remain timeless. You would not be able to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bro chapter with modern Bro versions, for example. Still, I recommend anyone serious about NSM read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao.

The introduction describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I offers an introduction to Network Security Monitoring, an operational framework for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings (I&W) to detect and respond to intrusions.   Part I begins with an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory held by NSM practitioners.  The first chapter discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security process and defines words like security, risk, and threat.  It also makes assumptions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder and his prey that set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for NSM operations.  The second chapter addresses NSM directly, explaining why NSM is not implemented by modern NIDS' alone.  The third chapter focuses on deployment considerations, such as how to access traffic using hubs, taps, SPAN ports, or inline devices.  

Part II begins an exploration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM “product, process, people” triad.  Chapter 4 is a case study called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “reference intrusion model.”  This is an incident explained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of an omniscient observer.  During this intrusion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim collected full content data in two locations.  We will use those two trace files while explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools discussed in Part II.  Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference intrusion model, I devote chapters to each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four types of data which must be collected to perform network security monitoring – full content, session, statistical, and alert data.  Each chapter describes open source tools tested on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD operating system and available on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r UNIX derivatives.  Part II also includes a look at tools to manipulate and modify traffic.  Featured in Part II are little-discussed NIDS' like Bro and Prelude, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first true open source NSM suite, Sguil.

Part III continues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM triad by discussing processes.  If analysts don’t know how to handle events, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re likely to ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  I provide best practices in one chapter, and follow with a second chapter explicitly for technical managers.  That material explains how to conduct emergency NSM in an incident response scenario, how to evaluate monitoring vendors, and how to deploy a NSM architecture.

Part IV is intended for analysts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisors.  Entry level and intermediate analysts frequently wonder how to move to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir profession.  I offer some guidance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five topics with which a security professional should be proficient: weapons and tactics, telecommunications, system administration, scripting and programming, and management and policy.  The next three chapters offer case studies, showing analysts how to apply NSM principles to intrusions and related scenarios.

Part V is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive counterpart to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive aspects of Parts II, III, and IV.  I discuss how to attack products, processes, and people.  The first chapter examines tools to generate arbitrary packets, manipulate traffic, conduct reconnaissance, and exploit flaws inn Cisco, Solaris, and Microsoft targets.  In a second chapter I rely on my experience performing detection and response to show how intruders attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset and procedures upon which analysts rely.

An epilogue on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of NSM follows Part V.  The appendices feature several TCP/IP protocol header charts and explanations.   I also wrote an intellectual history of network security, with abstracts of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important papers written during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last twenty-five years.  Please take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to at least skim this appendix,  You'll see that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “revolutionary ideas” heralded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press were in some cases proposed decades ago.

The Tao lists as 832 pages. I planned to write 10 more chapters, but my publisher and I realized that we needed to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door. ("Real artists ship.") I wanted to address ways to watch traffic leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise in order to identify intruders, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than concentrating on inbound traffic, as was popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s and 2000s. Therefore, I wrote Extrusion Detection: Security Monitoring for Internal Intrusions.

I've called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Constitution" and Extrusion "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bill of Rights." These two books were written in 2004-2005, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are tightly coupled in terms of language and methodology. Because Extrusion is tied more closely with data types, and less with specific software, I think it has aged better in this respect.

The introduction describes Extrusion using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I mixes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory with architectural considerations.  Chapter 1 is a recap of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories, tools, and techniques from The Tao.  It is important for readers to understand that NSM has a specific technical meaning and that NSM is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process as intrusion detection.  Chapter 2 describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architectural requirements for designing a network best suited to control, detect, and respond to intrusions.  Because this chapter is not written with specific tools in mind, security architects can implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desired solutions regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Chapter 3 explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory of extrusion detection and sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Chapter 4 describes how to gain visibility to internal traffic.  Part I concludes with Chapter 5, original material by Ken Meyers explaining how internal network design can enhance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control and detection of internal threats.

Part II is aimed at security analysts and operators; it is traffic-oriented and requires basic understanding of TCP/IP and packet analysis.  Chapter 6 offers a method of dissecting session and full content data to unearth unauthorized activity.  Chapter 7 offers guidance on responding to intrusions, from a network-centric perspective.  Chapter 8 concludes part III by demonstrating principles of network forensics.

Part III collects case studies of interest to all types of security professionals.  Chapter 9 applies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons of Chapter 6 and explains how an internal bot net was discovered using Traffic Threat Assessment.  Chapter 10 features analysis of IRC bot nets, contributed by LURHQ analyst Michael Heiser. 

An epilogue points to future developments.  The first appendix, Appendix A, describes how to install Argus and NetFlow collection tools to capture session data.  Appendix B explains how to install a minimal Snort deployment in an emergency.  Appendix C, by Tenable Network Security founder Ron Gula, examines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of host and vulnerability enumeration techniques available in commercial and open source tools.  The book concludes with Appendix D, where Red Cliff Consulting expert Rohyt Belani offers guidance on internal host enumeration using open source tools.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time I was writing Tao and Extrusion, I was collaborating with my friends and colleagues Keith Jones and Curtis Rose on a third book, Real Digital Forensics: Computer Security and Incident Response. This was a ground-breaking effort, published in October 2005. What made this book so interesting is that Keith, Curtis and I created workstations running live software, compromised each one, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n provided forensic evidence for readers on a companion DVD. 

This had never been done in book form, and after surviving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process we understood why! The legal issues alone were enough to almost make us abandon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort. Microsoft did not want us to "distribute" a forensic image of a Windows system, so we had to zero out key Windows binaries to satisfy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lawyers. 

The primary weakness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book in 2017 is that operating systems have evolved, and many more forensics books have been written. It continues to be an interesting exercise to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic practices advocated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply to more modern situations.

This review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book includes a summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents:

• Live incident response (collecting and analyzing volatile and nonvolatile data; 72 pp.)
• Collecting and analyzing network-based data (live network surveillance and data analysis; 87 pp.)
• Forensic duplication of various devices using commercial and open source tools (43 pp.)
• Basic media analysis (deleted data recovery, metadata, hash analysis, “carving”/signature analysis, keyword searching, web browsing history, email, and registry analyses; 96 pp.)
• Unknown tool/binary analysis (180 pp.)
• Creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “ultimate response CD” (response toolkit creation; 31 pp.)
• Mobile device and removable media forensics (79 pp.)
• On-line-based forensics (tracing emails and domain name ownership; 30 pp.)
• Introduction to Perl scripting (12 pp.)

After those three titles, I was done with writing for a while. However, in 2012 I taught a class for Black Hat in Abu Dhabi. I realized many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamental understanding of how networks operated and how network security monitoring could help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m detect and respond to intrusions. I decided to write a book that would explain NSM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up. While I assumed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would have familiarity with computing and some security concepts, I did not try to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for existing security experts.

The result was The Practice of Network Security Monitoring: Understanding Incident Detection and Response. If you are new to NSM, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first book you should buy and read. It is a very popular title and it distills my philosophy and practice into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most digestible form, in 376 pages.

The main drawback of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integration of Security Onion coverage. SO is a wonderful open source suite, partly because it is kept so current. That makes it difficult for a print book to track changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software installation and configuration options. While you can still use PNSM to install and use SO, you are better off relying on Doug Burks' excellent online documentation. 

PNSM is an awesome resource for learning how to use SO and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools to detect and respond to intrusions. I am particularly pleased with chapter 9, on NSM operations. It is a joke that I often tell people to "read chapter 9" when anyone asks me about CIRTs.

The introduction describes PNSM using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I, “Getting Started,” introduces NSM and how to think about sensor placement.

• Chapter 1, “Network Security Monitoring Rationale,” explains why NSM matters, to help you gain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support needed to deploy NSM in your environment.
• Chapter 2, “Collecting Network Traffic: Access, Storage, and Management,”addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges and solutions surrounding physical access to network traffic.

Part II, “Security Onion Deployment,” focuses on installing SO on hardware and configuring SO effectively.

• Chapter 3, “Stand-alone NSM Deployment and Installation,” introduces SO and explains how to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software on spare hardware to gain initial NSM capability at low or no cost.
• Chapter 4, “Distributed Deployment,” extends Chapter 3 to describe how to install a dispersed SO system.
• Chapter 5, “SO Platform Housekeeping,” discusses maintenance activities for keeping your SO installation running smoothly. 

Part III, “Tools,” describes key software shipped with SO and how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se applications.

• Chapter 6, “Command Line Packet Analysis Tools,” explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key features of Tcpdump, Tshark, Dumpcap, and Argus in SO.
• Chapter 7, “Graphical Packet Analysis Tools,” adds GUI-based software to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix, describing Wireshark, Xplico, and NetworkMiner.
• Chapter 8, “NSM Consoles,” shows how NSM suites, like Sguil, Squert, Snorby, and ELSA, enable detection and response workflows.

Part IV, “NSM in Action,” discusses how to use NSM processes and data to detect and respond to intrusions.

• Chapter 9, “NSM Operations,” shares my experience building and leading a global computer incident response team (CIRT).
• Chapter 10, “Server-side Compromise,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first NSM case study, wherein you’ll learn how to apply NSM principles to identify and validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of an Internet-facing application.
• Chapter 11, “Client-side Compromise,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second NSM case study, offering an example of a user being victimized by a client-side attack.
• Chapter 12, “Extending SO,” concludes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main text with coverage of tools and techniques to expand SO’s capabilities.
• Chapter 13, “Proxies and Checksums,” concludes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main text by addressing two challenges to conducting NSM.

The Conclusion offers a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of NSM, especially with respect to cloud environments. 

The Appendix, “SO Scripts and Configuration,” includes information from SO developer Doug Burks on core SO configuration files and control scripts.

I hope this post helps explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different books I've written, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir applicability to modern security scenarios.