Showing posts with label visibility. Show all posts
Showing posts with label visibility. Show all posts

Friday, November 23, 2018

More on Threat Hunting

Earlier this week hellor00t asked via Twitter:

Where would you place your security researchers/hunt team?

I replied:

For me, "hunt" is just a form of detection. I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to build a "hunt" team. IR teams detect intruders using two major modes: matching and hunting. Junior people spend more time matching. Senior people spend more time hunting. Both can and should do both functions.

This inspired Rob Lee to blog a response, from which I extract his core argument:

[Hunting] really isn’t, to me, about detecting threats...

Hunting is a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis-led approach to testing your environment for threats. The purpose, to me, is not in finding threats but in determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

In short, hunting, to me, is a way to assess your security (people, process, and technology) against threats while extending your automation footprint to better be prepared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Or simply stated, it’s incident response without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident that’s done with a purpose and contributes something. 

As background for my answer, I recommend my March 2017 post The Origin of Threat Hunting, which cites my article "Become a Hunter," published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine. I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunting," I give credit to briefers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and NSA who, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s briefed "hunter-killer" missions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD.

As a comment to that post, Tony Sager, who ran NSA VAO at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I was briefed at ReBl, described hunting thus:

[Hunting] was an active and sustained search for Attackers...

For us, "Hunt" meant a very planned and sustained search, taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing infrastructure of Red/Blue Teams and COMSEC Monitoring, as well as intelligence information to guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search. 

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice of hunting, as I experienced it, I give credit to our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- who took junior analysts on "hunting trips," starting in 2008-2009.

It is very clear, to me, that hunting has always been associated with detecting an adversary, not "determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m," as characterized by Rob.

For me, Rob is describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of an enterprise visibility architect, which I described in a 2007 post:

[W]e are stuck with numerous platforms, operating systems, applications, and data (POAD) for which we have zero visibility. 

I suggest that enterprises consider hiring or assigning a new role -- Enterprise Visibility Architect. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA is to identify visibility deficiencies in existing and future POAD and design solutions to instrument cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

A primary reason to hire an enterprise visibility architect is to build visibility in, which I described in several posts, including this one from 2009 titled Build Visibility In. As a proponent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitor first" school, I will always agree that it is important to identify and address visibility gaps.

So where do we go from here?

Tony Sager, as one of my wise men, offers sage advice at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion of his comment:

"Hunt" emerged as part of a unifying mission model for my Group in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Assurance Directorate at NSA (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive mission) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-late 2000's. But it was also a way to unify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between IA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIGINT mission - intelligence as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver for Hunting. The marketplace, of course, has now brought its own meaning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term, but I just wanted to share some history. 

In my younger days I might have expressed much more energy and emotion when encountering a different viewpoint. At this point in my career, I'm more comfortable with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r points of view, so long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not result in harm, or a waste of my taxpayer dollars, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r clearly negative consequences. I also appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind words Rob offered toward my point of view.

tl;dr I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition and practice of hunting has always been tied to adversaries, and that Rob describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of an enterprise visibility architect when he focuses on visibility gaps racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than adversary activity.

Update 1: If in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of conducting a hunt you identify a visibility or resistance deficiency, that is indeed beneficial. The benefit, however, is derivative. You hunt to find adversaries. Identifying gaps is secondary although welcome.

The same would be true of hunting and discovering misconfigured systems, or previously unidentified assets, or unpatched software, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r myriad facts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground that manifest when one applies Clausewitz's directed telescope towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computing environment.

Thursday, October 25, 2018

Have Network, Need Network Security Monitoring

I have been associated with network security monitoring my entire cybersecurity career, so I am obviously biased towards network-centric security strategies and technologies. I also work for a network security monitoring company (Corelight), but I am not writing this post in any corporate capacity.

There is a tendency in many aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security operations community to shy away from network-centric approaches. The rise of encryption and cloud platforms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument goes, makes methodologies like NSM less relevant. The natural response seems to be migration towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint, because it is still possible to deploy agents on general purpose computing devices in order to instrument and interdict on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint itself.

It occurred to me this morning that this tendency ignores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend in computing is toward closed computing devices. Mobile platforms, especially those running Apple's iOS, are not friendly to introducing third party code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of "security." In fact, one could argue that iOS is one of, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365, most security platform, thanks to this architectural decision. (Timely and regular updates, a policed applications store, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r choices are undoubtedly part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security success of iOS, to be sure.)

How is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint-centric security strategy going to work when security teams are no longer able to install third party endpoint agents? The answer is -- it will not. What will security teams be left with?

The answer is probably application logging, i.e., usage and activity reports from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software with which users interact. Most of this will likely be hosted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. Therefore, security teams responsible for protecting work-anywhere-but-remote-intensive users, accessing cloud-hosted assets, will have really only cloud-provided data to analyze and escalate.

It's possible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint providers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves might assume a greater security role. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, Apple and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r manufacturers provide security information directly to users. This could be like Chase asking if I really made a purchase. This model tends to break down when one is using a potentially compromised asset to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user if that asset is compromised.

In any case, this vision of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future ignores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that someone will still be providing network services. My contention is that if you are responsible for a network, you are responsible for monitoring it.

It is negligent to provide network services but ignore abuse of that service.

If you disagree and cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "common carrier" exception, I would agree to a certain extent. However, one cannot easily fall back on that defense in an age where Facebook, Twitter, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r platforms are being told to police cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure or face ever more government regulation.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, using modern Internet services means, by definition, using someone's network. Whoever is providing that network will need to instrument it, if only to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 liability associated with misuse. Therefore, anyone operating a network would do well to continue to deploy and operate network security monitoring capabilities.

We may be in a golden age of endpoint visibility, but closure of those platforms will end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint's viability as a source of security logging. So long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are networks, we will need network security monitoring.

Friday, October 05, 2018

Network Security Monitoring vs Supply Chain Backdoors

On October 4, 2018, Bloomberg published a story titled “The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies,” with a subtitle “The attack by Chinese spies reached almost 30 U.S. companies, including Amazon and Apple, by compromising America’s technology supply chain, according to extensive interviews with government and corporate sources.” From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implants were small, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of code cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contained was small as well. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were capable of doing two very important things: telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device to communicate with one of several anonymous computers elsewhere on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet that were loaded with more complex code; and preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device’s operating system to accept this new code. The illicit chips could do all this because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 baseboard management controller, a kind of superchip that administrators use to remotely log in to problematic servers, giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive code even on machines that have crashed or are turned off.

Companies mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story deny cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details, so this post does not debate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg reporters’ claims. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I prefer to discuss how a computer incident response team (CIRT) and a chief information security officer (CISO) should handle such a possibility. What should be done when hardware-level attacks enabling remote access via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network are possible?

This is not a new question. I have addressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture and practices needed to mitigate this attack model in previous writings. This scenario is a driving force behind my recommendation for network security monitoring (NSM) for any organization running a network, of any kind. This does not mean endpoint-centric security, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security models, should be abandoned. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, my argument shows why NSM offers unique benefits when facing hardware supply chain attacks.

The problem is one of trust and detectability. The problem here is that one loses trust in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of a computing platform when one suspects a compromised hardware environment. One way to validate whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a computing platform is trustworthy is to monitor outside of it, at places where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware cannot know it is being monitored, and cannot interfere with that monitoring. Software installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware is by definition untrustworthy because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware backdoor may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to obscure or degrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility and control provided by an endpoint agent.

Network security monitoring applied outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware platform does not suffer this limitation, if certain safeguards are implemented. NSM suffers limitations unique to its deployment, of course, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be outlined shortly. By watching traffic to and from a suspected computing platform, CIRTs have a chance to identify suspicious and malicious activity, such as contact with remote command and control (C2) infrastructure. NSM data on this C2 activity can be collected and stored in many forms, such as any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seven NSM data types: 1) full content; 2) extracted content; 3) session data; 4) transaction data; 5) statistical data; 6) metadata; and 7) alert data.

Most likely session and transaction data would have been most useful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case at hand. Once intelligence agencies identified that command and control infrastructure used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alleged Chinese agents in this example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could provide that information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT, who could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n query historical NSM data for connectivity between enterprise assets and C2 servers. The results of those queries would help determine if and when an enterprise was victimized by compromised hardware.

The limitations of this approach are worth noting. First, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders never activated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backdoors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no evidence of communications with C2 servers. Hardware inspection would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main way to deal with this problem. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders may leverage popular Internet services for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C2. Historical examples include command and control via Twitter, domain fronting via Google or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Web sites, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r covert channels. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication, it would be difficult, though not impossible, to deal with this situation, mainly through careful analysis. Third, traditional network-centric monitoring would be challenging if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders employed an out-of-band C2 channel, such as a cellular or radio network. This has been seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild but does not appear to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case in this incident. Technical countermeasures, whereby rooms are swept for unauthorized signals, would have to be employed. Fourth, it’s possible, albeit unlikely, that NSM sensors tasked with watching for suspicious and malicious activity are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves hosted on compromised hardware, making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reporting also untrustworthy.

The remedy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last instance is easier than that for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous three. Proper architecture and deployment can radically improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trust one can place in NSM sensors. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensors should not be able to connect to arbitrary systems on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. The most security conscious administrators apply patches and modifications using direct access to trusted local sources, and do not allow access for any reason ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than data retrieval and system maintenance. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, no one browses Web sites or checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email from NSM sensors! Second, this moratorium on arbitrary connections should be enforced by firewalls outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM sensors, and any connection attempts that violate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall policy should generate a high-priority alert. It is again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically possible for an extremely advanced intruder to circumvent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls, but this approach increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of an adversary tripping a wire at some point, revealing his or her presence.

The bottom line is that NSM must be a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response strategy for any organization that runs a network. Collecting and analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core NSM data types, in concert with host-based security, integration with third party intelligence, and infrastructure logging, provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best chance for CIRTs to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of adversaries who escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of hardware hacking via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply chain. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg story is true, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investment in NSM merits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peace of mind a CISO will enjoy when his or her CIRT is equipped with robust network visibility.

This post first appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Corelight blog.

Tuesday, September 18, 2018

Firewalls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Need for Speed

I was looking for resources on campus network design and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides (pdf) from a 2011 Network Startup Resource Center presentation. These two caught my attention:



This bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red me, so I Tweeted about it.

This started some discussion, and prompted me to see what NSRC suggests for architecture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. You can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest, from April 2018, here. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir suggested architecture:






What do you think of this architecture?

My Tweet has attracted some attention from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high speed network researcher community, some of whom assume I must be a junior security apprentice who equates "firewall" with "security." Long-time blog readers will laugh at that, like I did. So what was my problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original recommendation, and what problems do I have (if any) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version?

First, let's be clear that I have always differentiated between visibility and control. A firewall is a poor visibility tool, but it is a control tool. It controls inbound or outbound activity according to its ability to perform in-line traffic inspection. This inline inspection comes at a cost, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major concern of those responding to my Tweet.

Notice how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation author thinks about firewalls. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides above, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version, he says "firewalls don't protect users from getting viruses" because "clicked links while browsing" and "email attachments" are "both encrypted and firewalls won't help." Therefore, "since firewalls don't really protect users from viruses, let's focus on protecting critical server assets," because "some campuses can't develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 political backing to remove firewalls for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campus."

The author is arguing that firewalls are an inbound control mechanism, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are ill-suited for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most prevalent threat vectors for users, in his opinion: "viruses," delivered via email attachment, or "clicked links."

Mail administrators can protect users from many malicious attachments. Desktop anti-virus can protect users from many malicious downloads delivered via "clicked links." If that is your worldview, of course firewalls are not important.

His argument for firewalls protecting servers is, implicitly, that servers may offer services that should not be exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than disabling those services, or limiting access via identity or local address restrictions, he says a firewall can provide that inbound control.

These arguments completely miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that firewalls are, in my opinion, more effective as an outbound control mechanism. For example, a firewall helps restrict adversary access to his victims when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reach outbound to establish post-exploitation command and control. This relies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempted C2 as being malicious. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent intruders encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C2 (and sites fail to inspect it) or use covert mechanisms (e.g., C2 over Twitter), firewalls will be less effective.

The previous argument assumes admins rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to identify and block malicious outbound activity. Admins might alternatively identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, and direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to block outbound activity from designated compromised assets or to designated adversary infrastructure.

As some Twitter responders said, it's possible to do some or all of this without using a stateful firewall. I'm aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool tricks one can play with routing to control traffic. Ken Meyers and I wrote about some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches in 2005 in my book Extrusion Detection. See chapter 5, "Layer 3 Network Access Control."

Implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se non-firewall-based security choices requries a high degree of diligence, which requires visibility. I did not see this emphasized in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSRC presentation. For example:


These are fine goals, but I don't equate "manageability" with visibility or security. I don't think "problems and viruses" captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magnitude of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to research networks.

The core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reaction to my original Tweet is that I don't appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for speed in research networks. I understand that. However, I can't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for "full bandwidth, un-filtered access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet." That is a recipe for disaster.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if you define partner specific networks, and allow essentially site-to-site connectivity with exquisite network security monitoring methods and operations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I do not have a problem with eliminating firewalls from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture. I do have a problem with unrestricted access to adversary infrastructure.

I understand that security doesn't exist to serve itself. Security exists to enable an organizational mission. Security must be a partner in network architecture design. It would be better to emphasize enhance monitoring for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks discussed above, and think carefully about enabling speed without restrictions. The NSRC resources on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 science DMZ merit consideration in this case.

Thursday, February 09, 2017

Bejtlich Books Explained

A reader asked me to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between two of my books. I decided to write a public response.

If you visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity Books page, you will see two different types of books. The first type involves books which list me as author or co-author. The second involves books to which I have contributed a chapter, section, or foreword.

This post will only discuss books which list me as author or co-author.

In July 2004 I published The Tao of Network Security Monitoring: Beyond Intrusion Detection. This book was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of everything I had learned since 1997-98 regarding detecting and responding to intruders, primarily using network-centric means. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complete examination of NSM philosophy available. I am particularly happy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM history appendix. It cites and summarizes influential computer security papers over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four decade history of NSM to that point.

The main problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao is that certain details of specific software versions are very outdated. Established software like Tcpdump, Argus, and Sguil function much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core NSM data types remain timeless. You would not be able to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bro chapter with modern Bro versions, for example. Still, I recommend anyone serious about NSM read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao.

The introduction describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I offers an introduction to Network Security Monitoring, an operational framework for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings (I&W) to detect and respond to intrusions.   Part I begins with an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory held by NSM practitioners.  The first chapter discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security process and defines words like security, risk, and threat.  It also makes assumptions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder and his prey that set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for NSM operations.  The second chapter addresses NSM directly, explaining why NSM is not implemented by modern NIDS' alone.  The third chapter focuses on deployment considerations, such as how to access traffic using hubs, taps, SPAN ports, or inline devices.  

Part II begins an exploration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM “product, process, people” triad.  Chapter 4 is a case study called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “reference intrusion model.”  This is an incident explained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of an omniscient observer.  During this intrusion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim collected full content data in two locations.  We will use those two trace files while explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools discussed in Part II.  Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference intrusion model, I devote chapters to each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four types of data which must be collected to perform network security monitoring – full content, session, statistical, and alert data.  Each chapter describes open source tools tested on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD operating system and available on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r UNIX derivatives.  Part II also includes a look at tools to manipulate and modify traffic.  Featured in Part II are little-discussed NIDS' like Bro and Prelude, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first true open source NSM suite, Sguil.

Part III continues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM triad by discussing processes.  If analysts don’t know how to handle events, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re likely to ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  I provide best practices in one chapter, and follow with a second chapter explicitly for technical managers.  That material explains how to conduct emergency NSM in an incident response scenario, how to evaluate monitoring vendors, and how to deploy a NSM architecture.

Part IV is intended for analysts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisors.  Entry level and intermediate analysts frequently wonder how to move to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir profession.  I offer some guidance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five topics with which a security professional should be proficient: weapons and tactics, telecommunications, system administration, scripting and programming, and management and policy.  The next three chapters offer case studies, showing analysts how to apply NSM principles to intrusions and related scenarios.

Part V is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive counterpart to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive aspects of Parts II, III, and IV.  I discuss how to attack products, processes, and people.  The first chapter examines tools to generate arbitrary packets, manipulate traffic, conduct reconnaissance, and exploit flaws inn Cisco, Solaris, and Microsoft targets.  In a second chapter I rely on my experience performing detection and response to show how intruders attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset and procedures upon which analysts rely.

An epilogue on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of NSM follows Part V.  The appendices feature several TCP/IP protocol header charts and explanations.   I also wrote an intellectual history of network security, with abstracts of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important papers written during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last twenty-five years.  Please take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to at least skim this appendix,  You'll see that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “revolutionary ideas” heralded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press were in some cases proposed decades ago.

The Tao lists as 832 pages. I planned to write 10 more chapters, but my publisher and I realized that we needed to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door. ("Real artists ship.") I wanted to address ways to watch traffic leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise in order to identify intruders, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than concentrating on inbound traffic, as was popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s and 2000s. Therefore, I wrote Extrusion Detection: Security Monitoring for Internal Intrusions.

I've called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Constitution" and Extrusion "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bill of Rights." These two books were written in 2004-2005, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are tightly coupled in terms of language and methodology. Because Extrusion is tied more closely with data types, and less with specific software, I think it has aged better in this respect.

The introduction describes Extrusion using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I mixes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory with architectural considerations.  Chapter 1 is a recap of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories, tools, and techniques from The Tao.  It is important for readers to understand that NSM has a specific technical meaning and that NSM is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process as intrusion detection.  Chapter 2 describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architectural requirements for designing a network best suited to control, detect, and respond to intrusions.  Because this chapter is not written with specific tools in mind, security architects can implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desired solutions regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Chapter 3 explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory of extrusion detection and sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Chapter 4 describes how to gain visibility to internal traffic.  Part I concludes with Chapter 5, original material by Ken Meyers explaining how internal network design can enhance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control and detection of internal threats.

Part II is aimed at security analysts and operators; it is traffic-oriented and requires basic understanding of TCP/IP and packet analysis.  Chapter 6 offers a method of dissecting session and full content data to unearth unauthorized activity.  Chapter 7 offers guidance on responding to intrusions, from a network-centric perspective.  Chapter 8 concludes part III by demonstrating principles of network forensics.

Part III collects case studies of interest to all types of security professionals.  Chapter 9 applies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons of Chapter 6 and explains how an internal bot net was discovered using Traffic Threat Assessment.  Chapter 10 features analysis of IRC bot nets, contributed by LURHQ analyst Michael Heiser. 

An epilogue points to future developments.  The first appendix, Appendix A, describes how to install Argus and NetFlow collection tools to capture session data.  Appendix B explains how to install a minimal Snort deployment in an emergency.  Appendix C, by Tenable Network Security founder Ron Gula, examines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of host and vulnerability enumeration techniques available in commercial and open source tools.  The book concludes with Appendix D, where Red Cliff Consulting expert Rohyt Belani offers guidance on internal host enumeration using open source tools.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time I was writing Tao and Extrusion, I was collaborating with my friends and colleagues Keith Jones and Curtis Rose on a third book, Real Digital Forensics: Computer Security and Incident Response. This was a ground-breaking effort, published in October 2005. What made this book so interesting is that Keith, Curtis and I created workstations running live software, compromised each one, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n provided forensic evidence for readers on a companion DVD. 

This had never been done in book form, and after surviving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process we understood why! The legal issues alone were enough to almost make us abandon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort. Microsoft did not want us to "distribute" a forensic image of a Windows system, so we had to zero out key Windows binaries to satisfy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lawyers. 

The primary weakness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book in 2017 is that operating systems have evolved, and many more forensics books have been written. It continues to be an interesting exercise to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic practices advocated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply to more modern situations.

This review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book includes a summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents:

• Live incident response (collecting and analyzing volatile and nonvolatile data; 72 pp.)
• Collecting and analyzing network-based data (live network surveillance and data analysis; 87 pp.)
• Forensic duplication of various devices using commercial and open source tools (43 pp.)
• Basic media analysis (deleted data recovery, metadata, hash analysis, “carving”/signature analysis, keyword searching, web browsing history, email, and registry analyses; 96 pp.)
• Unknown tool/binary analysis (180 pp.)
• Creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “ultimate response CD” (response toolkit creation; 31 pp.)
• Mobile device and removable media forensics (79 pp.)
• On-line-based forensics (tracing emails and domain name ownership; 30 pp.)
• Introduction to Perl scripting (12 pp.)

After those three titles, I was done with writing for a while. However, in 2012 I taught a class for Black Hat in Abu Dhabi. I realized many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamental understanding of how networks operated and how network security monitoring could help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m detect and respond to intrusions. I decided to write a book that would explain NSM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up. While I assumed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would have familiarity with computing and some security concepts, I did not try to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for existing security experts.

The result was The Practice of Network Security Monitoring: Understanding Incident Detection and Response. If you are new to NSM, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first book you should buy and read. It is a very popular title and it distills my philosophy and practice into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most digestible form, in 376 pages.

The main drawback of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integration of Security Onion coverage. SO is a wonderful open source suite, partly because it is kept so current. That makes it difficult for a print book to track changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software installation and configuration options. While you can still use PNSM to install and use SO, you are better off relying on Doug Burks' excellent online documentation. 

PNSM is an awesome resource for learning how to use SO and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools to detect and respond to intrusions. I am particularly pleased with chapter 9, on NSM operations. It is a joke that I often tell people to "read chapter 9" when anyone asks me about CIRTs.

The introduction describes PNSM using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I, “Getting Started,” introduces NSM and how to think about sensor placement.

• Chapter 1, “Network Security Monitoring Rationale,” explains why NSM matters, to help you gain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support needed to deploy NSM in your environment.
• Chapter 2, “Collecting Network Traffic: Access, Storage, and Management,”addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges and solutions surrounding physical access to network traffic.

Part II, “Security Onion Deployment,” focuses on installing SO on hardware and configuring SO effectively.

• Chapter 3, “Stand-alone NSM Deployment and Installation,” introduces SO and explains how to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software on spare hardware to gain initial NSM capability at low or no cost.
• Chapter 4, “Distributed Deployment,” extends Chapter 3 to describe how to install a dispersed SO system.
• Chapter 5, “SO Platform Housekeeping,” discusses maintenance activities for keeping your SO installation running smoothly. 

Part III, “Tools,” describes key software shipped with SO and how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se applications.

• Chapter 6, “Command Line Packet Analysis Tools,” explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key features of Tcpdump, Tshark, Dumpcap, and Argus in SO.
• Chapter 7, “Graphical Packet Analysis Tools,” adds GUI-based software to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix, describing Wireshark, Xplico, and NetworkMiner.
• Chapter 8, “NSM Consoles,” shows how NSM suites, like Sguil, Squert, Snorby, and ELSA, enable detection and response workflows.

Part IV, “NSM in Action,” discusses how to use NSM processes and data to detect and respond to intrusions.

• Chapter 9, “NSM Operations,” shares my experience building and leading a global computer incident response team (CIRT).
• Chapter 10, “Server-side Compromise,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first NSM case study, wherein you’ll learn how to apply NSM principles to identify and validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of an Internet-facing application.
• Chapter 11, “Client-side Compromise,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second NSM case study, offering an example of a user being victimized by a client-side attack.
• Chapter 12, “Extending SO,” concludes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main text with coverage of tools and techniques to expand SO’s capabilities.
• Chapter 13, “Proxies and Checksums,” concludes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main text by addressing two challenges to conducting NSM.

The Conclusion offers a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of NSM, especially with respect to cloud environments. 

The Appendix, “SO Scripts and Configuration,” includes information from SO developer Doug Burks on core SO configuration files and control scripts.

I hope this post helps explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different books I've written, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir applicability to modern security scenarios.

Wednesday, June 10, 2015

My Federal Government Security Crash Program

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of recent intrusions into government systems, multiple parties have been asking for my recommended courses of action.

In 2007, following public reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 State Department breach, I blogged When FISMA BitesInitial Thoughts on Digital Security Hearing. and What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do. These posts captured my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department intrusion.

The situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n mirrors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current one well: outrage over an intrusion affecting government systems, China suspected as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, and questions regarding why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's approach to security does not seem to be working.

Following that breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department hired a new CISO who pioneered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "continuous monitoring" program, now called "Continuous Diagnostic Monitoring" (CDM). That CISO eventually left State for DHS, and brought CDM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. He is now retired from Federal service, but CDM remains. Years later we're reading about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OPM intrusions. CDM is not working.

My last post, Continuous Diagnostic Monitoring Does Not Detect Hackers, explained that although CDM is a necessary part of a security program, it should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority. CDM is at heart a "Find and Fix Flaws Faster" program. We should not prioritize closing and locking doors and windows while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Accordingly, I recommend a "Detect and Respond" strategy first and foremost.

To implement that strategy, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, three-phase approach. All phases can run concurrently.

Phase 1: Compromise Assessment: Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government can muster cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and authority, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Management and Budget (OMB), or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency such as DHS, should implement a government-wide compromise assessment. The compromise assessment involves deploying teams across government networks to perform point-in-time "hunting" missions to find, and if possible, remove, intruders. I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "remove" part will be more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se teams can handle, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of what I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will find. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, simply finding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders, or a decent sample, should inspire additional defensive activities, and give authorities a true "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

Phase 2: Improve Network Visibility: The following five points include actions to gain enhanced, enduring, network-centric visibility on Federal networks. While network-centric approaches are not a panacea, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best balances between cost, effectiveness, and minimized disruption to business operations.

1. Accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployment of Einstein 3A, to instrument all Federal network gateways. Einstein is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government's network visibility problem, but given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current situation, some visibility is better than no visibility. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inline, "intrusion prevention system" (IPS) nature of Einstein 3A is being used as an excuse for slowly deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS capability should be disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion detection system" (IDS) mode should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default. Waiting until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2016 is not acceptable. Equivalent technology should have been deployed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

2. Ensure DHS and US-CERT have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to provide centralizing monitoring of all deployed Einstein sensors. I imagine bureaucratic turf battles may have slowed Einstein deployment. "Who can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is probably foremost among agency worries. DHS and US-CERT should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home for centralized analysis of Einstein data. Monitored agencies should also be given access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and DHS, US-CERT, and agencies should begin a dialogue on whom should have ultimately responsibility for acting on Einstein discoveries.

3. Ensure DHS and US-CERT are appropriately staffed to operate and utilize Einstein. Collected security data is of marginal value if no one is able to analyze, escalate, and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. DHS and US-CERT should set expectations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time that should elapse from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of collection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of analysis, and staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team to meet those requirements.

4. Conduct hunting operations to identify and remove threat actors already present in Federal networks. Now we arrive at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion operation. The purpose of improving network visibility with Einstein (for lack of an alternative at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment) is to find intruders and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This operation should be conducted in a coordinated manner, not in a whack-a-mole fashion that facilitates adversary persistence. This should be coordinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" mission in Phase 1.

5. Collect metrics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion campaign and devise follow-on actions based on lessons learned. This operation will teach Federal network owners lessons about adversary campaigns and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfortunate realities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. They must learn how to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed, accuracy, and effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defensive campaign, and how to prioritize countermeasures that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent. I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would begin considering additional detection and response technologies and processes, such as enterprise log management, host-based sweeping, modern inspection platforms with virtual execution and detonation chambers, and related approaches.

Phase 3. Continuous Diagnostic Monitoring, and Related Ongoing Efforts: You may be surprised to see that I am not calling for an end to CDM. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, CDM should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of Federal security measures. It is important to improve Federal security through CDM practices, such that it becomes more difficult for adversaries to gain access to government computers. I am also a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Internet Connection program, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is consolidating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Note: I recommend anyone interested in details on this matter see my latest book, The Practice of Network Security Monitoring, especially chapter 9. In that chapter I describe how to run a network security monitoring operation, based on my experiences since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

Thursday, February 19, 2015

Elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Discussion on Security Incidents

I am not a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way many media sources cite "statistics" on digital security incidents. I've noted before that any "statistic" using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "millions" or "billions" to describe "attacks" is probably worthless.

This week, two articles on security incidents caught my attention. First, I'd like to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story at left, published 17 February in The Japan Times, titled Cyberattacks detected in Japan doubled to 25.7 billion in 2014. It included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The number of computer attacks on government and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations detected in Japan doubled in 2014 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year to a record 25.66 billion, a government agency said Tuesday.

The National Institute of Information and Communications Technology used around 240,000 sensors to detect cyberattacks...

Among countries to which perpetrators’ Internet Protocol addresses were traced, China accounted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest share at 40 percent, while South Korea, Russia and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States also ranked high.

NICT launched a survey on cyberattacks in Japan in 2005, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of such incidents stood at around 310 million. The number rose to about 5.65 billion in 2010 and to 7.79 billion in 2012.

25.66 billion "computer attacks"? That seems ridiculous at first glance. Based on observations from "around 240,000 sensors," that's over 100,000 "attacks" per sensor per year, or nearly 300 per sensor per day. That still seems excessive, although getting closer to an order of magnitude that might make sense.

You might find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend line more interesting, i.e., 310 million to 5.65 billion to 7.79 billion to 25.66 billion. However, it is important to adjust for increased visibility at each point. I doubt that 240,000 sensors were operating prior to 2014.

(On a secondary note, I'm not thrilled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section saying that Chinese IP addresses accounted for 40% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "attacks." While that may be a "fact," it doesn't say anything by itself that helps with attribution.)

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, talking about individual "attacks," especially when counting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m discretely, is outmoded thinking, in my opinion. "Attacks" could include anything from transmitting a TCP segment to a specific port, to attempting SQL injection on a Web site, to sending a phishing email.

If properly defined, "attacks" become somewhat interesting, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value as indicators should extend beyond being simple atomic events.

I was much more encouraged by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second article, at right, published 18 February by Reuters, titled Lockheed sees double-digit growth in cyber business. It included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

[Chief Executive Officer Marillyn] Hewson told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's annual media day that Lockheed had faced 50 "coordinated, sophisticated campaign" attacks by hackers in 2014 alone, and she expected those threats to continue growing.

The use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "campaign" is significant here. Campaign aligns with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational level of war, between Tactics and Strategy. (Tactics are employed as actions at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual battle or skirmish level, while Strategy describes matching ways and means to achieve specific ends. See my posts on strategy for more.)

Campaigns are sets of activities pursued over days, weeks, months, and even years to accomplish strategic and policy goals. The term campaign indicates purpose, applied over an extended period of time. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LM CEO speaks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms, she shows that her security team is thinking at an advanced level, likely aligning campaigns with specific threat actors and motives.

When a CEO talks about 50 campaigns, she can have a more meaningful discussion with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executives and board. She can talk about threat actors behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns, what happened during each campaign, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team detected and responded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The term Campaign also matches well with business operations; think of "marketing campaigns," "sales campaigns," etc.

I would very much like to see security teams, officials, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs think and talk about campaigns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, and place statistics on "attacks" in proper context. Note that some threat researchers talk about campaigns when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write reports on adversary activity, so that is a good sign already.

Thursday, September 04, 2014

Bejtlich Teaching at Black Hat Trainings 8-9 Dec 2014

I'm pleased to announce that I will be teaching one class at Black Hat Trainings 2014 in Potomac, MD, near DC, on 8-9 December 2014. The class is Network Security Monitoring 101. I taught this class in Las Vegas in July 2013 and 2014, and Seattle in December 2013. I posted Feedback from Network Security Monitoring 101 Classes last year as a sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student commentary I received.

This class is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect jumpstart for anyone who wants to begin a network security monitoring program at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization. You may enter with no NSM knowledge, but when you leave you'll be able to understand, deploy, and use NSM to detect and respond to intruders, using open source software and repurposed hardware.

The first discounted registration deadline is 11:59 pm EDT October 31st. The second discounted registration deadline (more expensive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first but cheaper than later) ends 11:59 pm EST December 5th. You can register here.

I recently topped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1,000 student count for my cumulative years of teaching my own material at Black Hat. Since starting my current Black Hat teaching run in 2007, I've completely replaced each course every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r year. In 2007-2008 I taught TCP/IP Weapons School version 1. In 2009-2010 I taught TCP/IP Weapons School version 2. In 2011-2012 I taught TCP/IP Weapons School version 3. In 2013-2014 I taught Network Security Monitoring 101.

I have no plans to design a new course for 2015 and beyond. If you want to see me teach Network Security Monitoring and related subjects, Black Hat is your best option.

Please sign up soon, for two reasons. First, if not enough people sign up early, Black Hat might cancel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class. Second, if many people sign up, you risk losing a seat. With so many classes taught at this venue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large rooms necessary to support big classes.

Several students asked for a more complete class outline. So, in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outline posted currently by Black Hat, I present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following that shows what sort of material I cover in my new class.

OVERVIEW

Is your network safe from intruders? Do you know how to find out? Do you know what to do when you learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth? If you are a beginner, and need answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions, Network Security Monitoring 101 (NSM101) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest Black Hat course for you. This vendor-neutral, open source software-friendly, reality-driven two-day event will teach students cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigative mindset not found in classes that focus solely on tools. NSM101 is hands-on, lab-centric, and grounded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest strategies and tactics that work against adversaries like organized criminals, opportunistic intruders, and advanced persistent threats. Best of all, this class is designed *for beginners*: all you need is a desire to learn and a laptop ready to run a virtual machine. Instructor Richard Bejtlich has taught over 1,000 Black Hat students since 2002, and this brand new, 101-level course will guide you into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of Network Security Monitoring.

CLASS OUTLINE

Day One

0900-1030
·         Introduction
·         Enterprise Security Cycle
·         State of South Carolina case study
·         Difference between NSM and Continuous Monitoring
·         Blocking, filtering, and denying mechanisms
·         Why does NSM work?
·         When NSM won’t work
·         Is NSM legal?
·         How does one protect privacy during NSM operations?
·         NSM data types
·         Where can I buy NSM?

1030-1045
·         Break

1045-1230
·         SPAN ports and taps
·         Making visibility decisions
·         Traffic flow
·         Lab 1: Visibility in ten sample networks
·         Security Onion introduction
·         Stand-alone vs server plus sensors
·         Core Security Onion tools
·         Lab 2: Security Onion installation

1230-1400
·         Lunch

1400-1600
·         Guided review of Capinfos, Tcpdump, Tshark, and Argus
·         Lab 3: Using Capinfos, Tcpdump, Tshark, and Argus

1600-1615
·         Break

1615-1800
·         Guided review of Wireshark, Bro, and Snort
·         Lab 4: Using Wireshark, Bro, and Snort
·         Using Tcpreplay with NSM consoles
·         Guided review of process management, key directories, and disk usage
·         Lab 5: Process management, key directories, and disk usage

Day Two

0900-1030
·         Computer incident detection and response process
·         Intrusion Kill Chain
·         Incident categories
·         CIRT roles
·         Communication
·         Containment techniques
·         Waves and campaigns
·         Remediation
·         Server-side attack pattern
·         Client-side attack pattern

1030-1045
·         Break

1045-1230
·         Guided review of Sguil
·         Lab 6: Using Sguil
·         Guided review of ELSA
·         Lab 7: Using ELSA

1230-1400
·         Lunch

1400-1600
·         Lab 8. Intrusion Part 1 Forensic Analysis
·         Lab 9. Intrusion Part 1 Console Analysis

1600-1615
·         Break

1615-1800
·         Lab 10. Intrusion Part 2 Forensic Analysis
·         Lab 11. Intrusion Part 2 Console Analysis

REQUIREMENTS

Students must be comfortable using command line tools in a non-Windows environment such as Linux or FreeBSD. Basic familiarity with TCP/IP networking and packet analysis is a plus.

WHAT STUDENTS NEED TO BRING

NSM101 is a LAB-DRIVEN course. Students MUST bring a laptop with at least 8 GB RAM and at least 20 GB free on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive. The laptop MUST be able to run a virtualization product that can CREATE VMs from an .iso, such as VMware Workstation (minimum version 8, 9 or 10 is preferred); VMware Player (minimum version 5 -- older versions do not support VM creation); VMware Fusion (minimum version 5, for Mac); or Oracle VM VirtualBox (minimum version 4.2). A laptop with access to an internal or external DVD drive is preferred, but not mandatory.

Students SHOULD test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source Security Onion (http://securityonion.blogspot.com) NSM distro prior to class. The students should try booting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12.04 64 bit Security Onion distribution into live mode. Students MUST ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptops can run a 64 bit virtual machine. For help with this requirement, see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMware knowledgebase article “Ensuring Virtualization Technology is enabled on your VMware host (1003944)” (http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1003944). Students MUST have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS password for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to enable virtualization support in class. Students MUST also have administrator-level access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop to install software, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to reconfigure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop in class.

WHAT STUDENTS WILL RECEIVE

Students will receive a paper class handbook with printed slides, a lab workbook, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teacher’s guide for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab questions. Students will also receive a DVD with a recent version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Onion NSM distribution.

TRAINERS

Richard Bejtlich is Chief Security Strategist at FireEye, and was Mandiant's Chief Security Officer when FireEye acquired Mandiant in 2013. He is a nonresident senior fellow at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institution, a board member at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Information Security Foundation, and an advisor to Threat Stack, Sqrrl, and Critical Stack. He is also a Master/Doctor of Philosophy in War Studies Researcher at King's College London. He was previously Director of Incident Response for General Electric, where he built and led cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40-member GE Computer Incident Response Team (GE-CIRT). Richard began his digital security career as a military intelligence officer in 1997 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT), Air Force Information Warfare Center (AFIWC), and Air Intelligence Agency (AIA). Richard is a graduate of Harvard University and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy. His fourth book is "The Practice of Network Security Monitoring" (nostarch.com/nsm). He also writes for his blog (taosecurity.blogspot.com) and Twitter (@taosecurity), and teaches for Black Hat.

Saturday, May 03, 2014

Brainwashed by The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick

Faster is better! Those of us with military backgrounds learned that speed is a "weapon" unto itself, a factor which is "inherently decisive" in military conflict. The benefit of speed was so ingrained into my Air Force training that I didn't recognize I had been brainwashed by what Dr. Thomas Hughes rightly identified as The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick.

Dr. Hughes published his article of this title in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Winter 2001 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aerospace Power Journal. His main point is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At a time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American military has global commitments arrayed at variable threats, both real and potential, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon’s single-minded view of speed leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation’s defenders poorly prepared for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of military opposition and enemies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may face.

Although Dr. Hughes wrote his article in 2001, his prescription is as accurate as ever. I found his integration of Edward Luttwak's point very telling:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quest for swift war, replete with exit strategies and premature cease-fires, has led to less, not more, decisive war, as Edward Luttwak argues. For him, wars nowadays rarely “run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir natural course” to “burn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves out and establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preconditions for a lasting settlement.” Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y “become endemic conflicts that never end because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transformative effects of both decisive victory and exhaustion are blocked.” The present struggle against terrorism may well prove an acid test for Luttwak’s point.

These points resonated with me because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reflected what I am learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Civil War. Scott, Grant and Lincoln knew that a quick, early strike against Richmond, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Union seized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capital of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederacy, would not decisively end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War and bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebels back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Union. Sad as it may seem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebels had to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point in fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war. If Richmond had fallen in 1861, only months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack on Fort Sumter, it's likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederacy would have transferred cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capital and kept fighting. Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quick" would have been a poor strategy during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War. (That doesn't necessarily justify fighting a four year conflict, but I believe a strategy of quickly capturing Richmond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exclusion of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r objectives would have resulted in Civil War 2, and so on, similar to World War II.)

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber side, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article reminded me of an area where speed is often paramount: detection and response. However, I remembered that my guidance on "fast" containment has always integrated one exception, as I noted on page 199 of my newest book, The Practice of Network Security Monitoring:

The speed with which a CIRT and constituent take containment actions is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of hot debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world. Some argue for fast containment in order to limit risk; ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs argue for slower containment, providing more time to learn about an adversary. The best answer is to contain incidents as quickly as possible, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT can scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of its capability.

Scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident means understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s reach. Is he limited to interacting with only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one computer identified thus far? Does he control more computers, or even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network by virtue of exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Active Directory domain controllers?

The speed with which a CIRT can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containment decision is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary ways to measure its maturity. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT regularly learns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of advanced (or even routine) threats via notification by external parties, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n rapid containment is less likely to be effective. A CIRT that cannot find intrusions within its own environment is not likely to be able to rapidly scope an incident. “Pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug” on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first identified victim will probably leave dozens, hundreds, or thousands of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r victims online and available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT develops its own threat intelligence, maintains pervasive visibility, and quickly finds intruders on its own, it is more likely to be able to scope an incident in a minimum amount of time. CIRTs with that sort of capability should establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s reach as rapidly as possible, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just as quickly contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim(s) to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary’s options. (emphasis added)

I highly recommend reading The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick. You may find you have also been brainwashed!

Gunfight picture credits: Popular Mechanics

Saturday, February 22, 2014

The Limits of Tool- and Tactics-Centric Thinking

Earlier today I read a post by Dave Aitel to his mailing list titled Drinking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cool-aid. Because it includes a chart you should review, I included a screenshot of it in this blog, below. Basically Dave lists several gross categories of defensive digital security technology and tools, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n lists what he perceives as deficiencies and benefits of each. Embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pluses and minuses are several tactical elements as well. Please take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original or my screenshot.



I had three reactions to this post.

First, I recognized that it's written by someone who is not responsible for defending any network of scale or significance. Network defense is more than tools and tactics. It's more often about people and processes. My initial response is unsatisfying and simplistic, however, even though I agree broadly with his critiques of anti-virus, firewalls, WAFs, and some traditional security technology.

Second, staying within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of tools and tactics, Dave is just wrong on several counts:
  • He emphasizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of encryption to defeat many defensive tools, but ignores that security and information technology architects regularly make deployment decisions to provide visibility in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of encryption.
  • He ignores or is ignorant of technology to defeat obfuscation and encryption used by intruders.
  • He says "archiving large amounts of traffic is insanely expensive and requires massive analytics to process," which is wrong on both counts. On a shoestring budget my team deployed hundreds of open source NSM sensors across my previous employer to capture data on gateways of up to multi-Gbps bandwidth. Had we used commercial packet capture platforms we would have needed a much bigger budget, but open source software like Security Onion has put NSM in everyone's hands, cheaply. Regarding "massive analytics," it's easier all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to get what you need for solid log technology. You can even buy awesome commercial technology to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done in ways you never imagined.
I could make ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r arguments regarding tactics and tools, but you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three I listed.

Third, and this is really my biggest issue with Dave's post, is that he demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 all-too-common tendency for security professionals to constrain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 levels of tactics and tools. What do I mean? Consider this diagram from my O'Reilly Webinar on my newest book:


A strategic security program doesn't start with tools and tactics. Instead, it starts with one or more overall program goals. The strategy-minded CISO gets executive buy-in to those goals; this works at a level understood by technicians and non-technicians alike. Next cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO develops strategies to implement those goals, organizes and runs campaigns and operations to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies, helps his team use tactics to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns and operations, and procures tools and technology to equip his team.

Here is an example of one strategic security approach to minimize loss due to intrusions, using a strategy of rapid detection, response, and containment, and NSM-inspired operations/campaigns, tactics, and tools.




Now I don't want to seem too harsh, because tool- and tactics-centric thinking is not just endemic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world. I read how it played out during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planning and execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air campaign during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Gulf War.

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonderful John Warden and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Renaissance of American Air Power and learned how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time suffered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems. The Air Force was very tactics- and technology-focused. They cared about how to defeat ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aircraft in aerial combat and sought to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army happy by making close air support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir main contribution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "joint" fight. The Air Force managed to quickly deploy planes to Saudi Arabia but had little idea how to use those forces in a campaign, let alone to achieve strategic or policy goals. It took visionaries like John Warden and David Deptula to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air campaign a reality, and forever change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of air warfare.

I was a cadet when this all happened and remember my instructors exhibiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contemporary obsession with tactics and tech we've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world for decades. Only later in my Air Force career did I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategic viewpoint gain acceptance.

Expect to hear more from me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for strategic thinking in digital security. I intend to apply to a PhD program this spring and begin research in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall. I want to apply strategic thinking to private sector digital defense, because that is where a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action is and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need is greatest.

For now, I talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for strategy in my O'Reilly Webinar.




Wednesday, July 27, 2011

SQL Injection Challenge and Time-Based Security

Thanks to this Tweet by @ryancbarnett, I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Level II component of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity SQL Injection Challenge.

As stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is "To successful execute SQLi against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scanning vendor demo websites and to try and evade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP ModSecurity CRS." The contestants need to identify a SQL injection vector within one of four demo websites, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n enumerate certain information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.

As also stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge page, "Winners of this level will be anyone who is able to enumerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data listed above for each demo app without triggering an Inbound ModSecurity Alert. If ModSecurity sees any inbound attacks or outbound application defects/info leakages, it will prepend a warning banner to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page."

This is interesting, but what caught my attention is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time-based security metrics describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of Level II of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge. I'll reproduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant section here:

Hacking Resistance (Time-to-Hack)

Many people wrongly assume that installing a Web Application Firewall will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sites "Hack Proof." Sadly, this is not reality. The real goal of using a web application firewall should be to gain visibility and to make your web applications more difficult to hack meaning that it should take attackers significantly more time to hack a vulnerable web site with a WAF in front in blocking mode vs. if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAF was not present at all.

The idea is to substantially increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Time-to-Hack" metric associated with compromising a site in order allow for operational security to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat and take appropriate actions...

With this in mind, we analyzed how long it took for each Level II winner to develop a working evasion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRS v2.2.0. We are basing this off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlated IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs that was tied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final evasion payloads submitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity team. We also saw that many Level II winners actually tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir payloads using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRS Demo page so we had to correlate test payloads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as well.

Avg. # of Requests to find an evasion: 433
Avg. Duration (Time to find an evasion): 72 hrs
Shortest # of Requests to find an evasion: 118
Shortest Duration (Time to find an evasion): 10 hrs

This data shows that having active monitoring and response capabilities of ongoing web attacks is paramount as it may only a matter of hours before a determined attacker finds a way through your defenses.

I [Ed: Ryan, not Richard] realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a multitude of variables and conditions involved where people can say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers are off (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r too high or too low) depending on your defenses and attacker skill level. Keep in mind that this metric was obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity WAF using mainly a negative security model ruleset. The point of presenting this data, however, is to have some form of metric available for active web application monitoring and defense discussions related to exploitation timelines.


What a great use of empirical data to make a point about security! Like Ryan says, you can argue about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rating of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder (does 10 hours really reflect a skilled intruder?) or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses (is ModSecurity really sufficient?). I'd answer that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y those aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge are sound enough to use as benchmarks for a certain portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat community and state-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-practice for defenses.

Ten hours, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of time between when an intruder would first start trying to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web app, and when he succeeded. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team has no more than 10 hours to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity and take action to close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of vulnerability. That's a tall order, but we have a metric now based on more than hand-waving that we can use to start a discussion of capabilities.

On a related note, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of activity that a red team could undertake to simulate threat action and identify IR team effectiveness.