There are just somethings that you can't say often enough. For example, tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones you love that you love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Also, tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y suspect an incident, do NOT shut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system off!
Think of Brad Pitt and Ed Norton (no, not that way!!) in Fight Club, but paraphrase..."cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first rule of incident response is...don't panic. The second rule of incident response is...DO NOT PANIC!!"
Okay, let's go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning...well, maybe not that far. Let's go back to an InformationWeek article published in Aug, 2006, in which Kevin Mandia was quoted...here's one interesting quote:
One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst things users can do if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems have been compromised by a hacker is to shut off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PCs, because doing so prevents an investigator from analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine's RAM, which often contains useful forensic evidence, Mandia said.
So, what do you think? Is he right? Don't say, "well, yeah, he must be...he's Kevin Mandia!" Think about it. While you're doing that, let me give you a scenario...you're an admin, and you detect anomalous traffic on your network. First, you see entries in firewall or IDS logs. You may even turn on a sniffer to capture network traffic information. So let's say that at that point, you determine that a specific system is connecting to a server on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet on an extremely high port, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic appears to be IRC traffic. What do you do? More importantly, what do you want to know?
The usual scenario continues like this...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is taken offline and shutdown, and stored in an office someplace. An outside third party may be contacted to provide assistance. At this point, once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is reported to management, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions become...what is our risk or exposure? Was sensitive information taken? Were ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r machines affected? If so, how many?
This is where panic ensues, because not only do most organizations not know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know how to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:
...Mandia said rumors of a kernel level rootkits always arise within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that's being analyzed.
You'll see this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public lists a lot..."I don't know what this issue is, and I really haven't done any sort of investigation...it's just easier to assume that it's a rootkit, because at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, that says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is a lot smarter than me." Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term rootkit implies a certain sexiness to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, doesn't it? After all, it implies that you've got something someone else wants, and an incredibly sophisticated attacker, a cyberninja, is coming after you. In some cases, it ends up being just a rumor.
The point of all this is that many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions that management has about an incident cannot be answered, at least not definitively, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step is to shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, if you have detected anomalous traffic on your network, and traced it back to a specific system, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than shutting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system off, take that additional step to collect process and process-to-port mapping info (for a list of tools, see chapter 5 of my first book) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. That way, you've closed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loop...you've not only tied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic to a system, but you've also tied it to a specific process on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
Of course, if you're going to go that far, you might was well use something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forensic Server Project to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r even more information.
3 comments:
I like this post, but reality tends to go something like this in most companies and admins I have been exposed to:
1. incident is reported/detected that needs attention
2. take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system offline
3. do some low-level checks to figure out what is wrong
4. save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's information, wipe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, re-image it, and get that user back to working again with as little downtime as possible while management pretends nothing big really happened or could have happened, moving on with life.
This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pressure for any admins not in a highly secure environment with absolutely defined processes that are supported by management and trump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user himself or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's manager.
In this case, I believe it is highly, highly important that all admins be at least exposed on how to properly gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information and preserve evidence as quickly as possible. Get some initial information on ports, processes, threads, open files. Dump memory. Grab an image of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk with checksums. Then attend to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business needs of getting that user up, and when time permits, pursue restoring that image to an identical machine or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise examining it in more detail. Far too many of us don't know how to do any of those things.
Anyway, you might cover that in your book, which I have already bought but is still in my personal reading queue. ;)
LV,
I agree with you, to a point. My experience so far has been that #3 isn't done very well, or its completely skipped.
I do think that your comment about "supported by management" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key...if management supported/required a root cause analysis and supported training for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admins, particularly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of response, things would be different.
Exposing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admins to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need won't be enough. I've worked with SANS certified admins who haven't a clue in a training scenario what to do. IR needs to become as second-nature as logging in in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning for incident responsers.
Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment.
You're right, it does need to be practiced and second nature. :)
Post a Comment