tirsdag 14. mai 2013

3 Big Mistakes In Incident Response

I denne artikkelen presenteres det tre av de største feilene en kan gjøre når man håndterer cyberangrep.

http://www.darkreading.com/management/3-big-mistakes-in-incident-response/240154817/

Synes artikkelen i utgangspunktet er god. Hovedtema er at manglende SA (Situational Awareness) fører til feil beslutning. Det er imidlertid ikke alt jeg er enig i:

1. ASSuming It's An APT.
Budskapet er at selv om "it walks like a duck, its not a duck". Det er jo åpenbart mulig at "vanlige kriminelle" etterligner TTP'ene til etterretningsorganisasjoner og andre offensive cyberkapabiliteter, men er det grunn god nok til å la være å undersøke om en hendelse kan være utført av sistnevnte aktører?
Selvfølgelig ikke. Jeg mener at det tradisjonelle måten å tenke eskalering, ikke fungerer i en Cyber Defence organisasjon. Hendelseshåndtering som skjer i driftsorganisasjoner kan være organisert slik at den som trenger hjelp først kommer i kontakt med helpdesk. Denne kan være bemannet med personell som har mindre utdanning og erfaring enn det som kreves for å løse mer komplekse problemer. Hvorfor? Jo fordi at de aller fleste hendelsene kan løses med en "mekanisk" tilnærming til problemløsning. Det er derfor de utstyrt med flytskjema for problemløsning, og det er derfor du må snakke med noen andre hvis flytskjema ikke løser problemet. Eskalering funker for disse problemene.

For en Cyber Defence analytiker derimot, er det behov for at eksperten er i fremste rekke. Det krever mye kunnskap og mye erfaring for å kunne avgjøre om et stykke data/informasjon er relevant eller ikke. Jeg er blitt fortalt at akuttmottaket på sykehuset fungerer på samme måte. Det er eksperten som undersøker deg først. Det er vesentlig å finne ut om du bare har brukket armen i den bilulykken, eller om du også har en langt mer alvorlig hodeskade som skal behandles først.

Derfor skal Cyber Defence analytikeren undersøke saken først, og hver sak må behandles som om det er en avansert motstander en står over for.

2. Not Monitoring Traffic.
Sikkerhetsovervåking bygger SA. Det er ingen vei utenom. Vil du vite hva som skjer i nettverkene dine, så må du overvåke dem. Uten overvåking har du ingen evne til å håndtere hendelser. Er forøvrig helt enig i hva artikkelen skriver om Netflow analyse. Om jeg måtte velge kun ett verktøy for overvåking, ville det vært Netflow-analyse.

3. Focusing Only On The Malware. 
Selv om jeg er enig i at en ikke bør fokusere på malware alene, synes jeg artikkelen bommer med begrunnelsen. Malware-analyse kan være et viktig bidrag til å avdekke motstanders intensjon, kapabilitet og kapasitet. Det kan bidra til å avdekke hvilken informasjon som er kompromittert eller ødelagt, og hvilken som ikke er det. Å si at malware-analyse ikke kan gi deg "root cause" er direkte feil.

Til slutt en påstand fra artikkelen som jeg ikke kan la passere:

But identifying the attacker is not straightforward in cyberattacks, and incident response isn't about ID'ing the individual attackers, anyway, Cylance's Shook says.
Dette utsagnet plasserer "incident response" nærmere tradisjonell informasjonssystemsikkerhet, enn slik jeg tenker rundt cyber defence. For sistnevnte handler det åpenbart om å forsøke å identifisere hvem motstanderen er, hva han vil, hvilke kapabiliteter og kapasiteter han har. Det er blant annet her at Cyber Defence skiller seg ut fra informasjonssystemsikkerhet.


torsdag 2. mai 2013

Komplekse adaptive systemer

Denne artikkelen diskuterer noen av problemene med komplekse adaptive systemer.

http://www.sciencedaily.com/releases/2013/05/130501131943.htm

Et av karakteristikaene ved slike systemer (skalarfrie nettverk) er at de en motstandsdyktige mot tilfeldige angrep, men sårbare mot målrettede angrep. Det globale internettet er et slike system.

I artikkelen foreslås det noen tiltak, blant annet å redusere størrelsen og konnektiviteten i slike nettverk. Det har jeg liten tro på, for det er jo nettopp "emergent properties" i slike netverk som gir effekt. Da er både størrelsen og effektiviteten vesentlige faktorer.

Adaptive defence?

Dennne artikkelen introduserer (?) begrepet adaptive defence.

http://securityblog.verizonbusiness.com/2013/05/01/adaptive-defense/

Nå er jo ikke begrepene "active defence" eller "active response" nye. Det er heller ikke diskusjonene som følger når dette diskuteres. Fra et IKT-sikkerhetsperspektiv, har man gjerne sett på dette som en ren teknisk respons, altså når en IDS dropper pakker eller lager brannmurregler for det den måtte oppdage. Fra et cyber defence perspektiv, handler det oftere om grensene mellom det defensive (CND) og det offensive (CNA og CNE).

Artikkelen beskriver en tilnærming som ligger mye nærmere slik vi forstår active defence i en militær kontekst, altså både det som handler om å møte en konkret trussel med de riktige forsvarsmekanismene, men også det som handler om å påvirke trusselaktøren, dog med defensive midler (villedning, redirigering, utarming av ressurser osv).

Jeg synes det er positivt at denne type konsepter blir mer vanlig, også i sivil sektor. At stadig flere tilbyr "cyberetterretinger" vil gjøre denne tilnærmingen enda mer effektiv.