Säkerhetspodcasten
Pods Lyssna! Kontakt Panelen Supporters
Säkerhetspodcasten

Contents

Säkerhetspodcasten #124 - Threat & Risk Intelligence med Michael Goedeker

   8594 words   41 minutes 

Lyssna

mp3

Innehåll

I dagens avsnitt intervjuar Rikard och Jesper Michael Goedeker om hans talk på Sec-T 2017, Snakeoil Factory Inc: Risk Intelligence and Threat Intelligence.

Inspelat: 2017-09-29. Längd: 00:31:48.

AI transkribering

AI försöker förstå oss… Ha överseende med galna feltranskriberingar.

1 00:00:00,000 --> 00:00:12,000 Välkomna till den här intervjun som kommer till dig av Säkerhetsbordkosten och Säkti.

2 00:00:12,000 --> 00:00:21,000 Det här är den delen där Säkerhetsbordkosten har intervjuer med några av språkarna.

3 00:00:21,000 --> 00:00:28,000 Och det här är när du har avslutningar i videon.

4 00:00:28,000 --> 00:00:29,000 Det här är vad vi gör.

5 00:00:29,000 --> 00:00:35,000 Så, fantastiskt. Vi har nu Mike, och din sista namn, jag hittade inte.

6 00:00:35,000 --> 00:00:36,000 Godeker.

7 00:00:36,000 --> 00:00:41,000 Godeker, också kallad Idiot på Twitter.

8 00:00:41,000 --> 00:00:47,000 Och du har just tillverkat en fantastisk tal om threat intelligence och riskintelligence.

9 00:00:47,000 --> 00:00:49,000 Tack, det gillar jag.

10 00:00:49,000 --> 00:00:51,000 Superintressant.

11 00:00:51,000 --> 00:00:59,000 Och som Jesper sa på staden här uppe, det lät som om du lämnade ut lite information.

12 00:00:59,000 --> 00:01:07,000 Eller lite av att låta publiken dra beslut.

13 00:01:07,000 --> 00:01:12,000 Men dina punkter var ganska tydliga, tror jag.

14 00:01:12,000 --> 00:01:16,000 Så för de som inte har sett talet, så kan du faktiskt göra det.

15 00:01:16,000 --> 00:01:19,000 För det kommer att vara online på Säktis Youtube-kanal.

16 00:01:19,000 --> 00:01:21,000 Så, bara för att titta in.

17 00:01:21,000 --> 00:01:28,000 Men innan vi börjar tala om dina berättelser och arbetet som har gått in i det här.

18 00:01:28,000 --> 00:01:33,000 För protokollet har vi några frågor.

19 00:01:33,000 --> 00:01:39,000 Hur började du i säkerhet?

20 00:01:39,000 --> 00:01:40,000 I industrin.

21 00:01:40,000 --> 00:01:43,000 I industrin var det några år senare.

22 00:01:43,000 --> 00:01:46,000 Men jag började faktiskt jobba med komputer när jag var i sjätte grad.

23 00:01:46,000 --> 00:01:49,000 Och då i Storbritannien var det normalt för oss

24 00:01:49,000 --> 00:01:52,000 att ta komputercurser och den typen av saker.

25 00:01:52,000 --> 00:01:58,000 Och jag började med de här komputera, Apple I, Apple II, Commodore.

26 00:01:58,000 --> 00:02:01,000 Alla de här nio jordarna, Sinclair och alla de olika äldre systemen.

27 00:02:01,000 --> 00:02:05,000 Och sedan började jag som administrerare.

28 00:02:05,000 --> 00:02:08,000 För då trodde vi att det var coolt, för det var riktigt coolt.

29 00:02:08,000 --> 00:02:12,000 Du fick stanna i den här stora rummet med en stor Sperry-system,

30 00:02:12,000 --> 00:02:13,000 Unix System 5.

31 00:02:13,000 --> 00:02:16,000 Och du hade airconditioning och du var den personen.

32 00:02:16,000 --> 00:02:18,000 Så jag tror att jag är en av de äldre generationerna.

33 00:02:18,000 --> 00:02:23,000 Som faktiskt lever den riktiga namnet av hackare.

34 00:02:23,000 --> 00:02:26,000 I det här fallet en person som gillar att förstå teknik,

35 00:02:26,000 --> 00:02:29,000 som tar det bort och försöker göra sakerna bättre.

36 00:02:29,000 --> 00:02:34,000 Så i din mening, du refererade hackare.

37 00:02:34,000 --> 00:02:36,000 Vad är den coolaste hacken i historien?

38 00:02:36,000 --> 00:02:39,000 Vad är den coolaste hacken? Det finns så många av dem.

39 00:02:39,000 --> 00:02:43,000 Det började med många av de här telefonböckerna,

40 00:02:43,000 --> 00:02:46,000 med frekvenserna, Captain Crunch och sådant.

41 00:02:46,000 --> 00:02:47,000 Captain Crunch, ja.

42 00:02:47,000 --> 00:02:51,000 Och sen i dagarna när de första virusen kom ut,

43 00:02:51,000 --> 00:02:55,000 jag tror att en av de mer kända kom från Pakistan.

44 00:02:55,000 --> 00:02:56,000 Ja.

45 00:02:56,000 --> 00:02:59,000 I den tiden var det, förlåt min vän, skit och skratt

46 00:02:59,000 --> 00:03:02,000 för du hade de här virusen som använde ditt harddriv

47 00:03:02,000 --> 00:03:06,000 eller de uttryckte något på skärmen och de var snygga.

48 00:03:06,000 --> 00:03:10,000 I dag morferar mycket av det här till saker där det är

49 00:03:10,000 --> 00:03:13,000 typiskt organiserade grupper och nationstater

50 00:03:13,000 --> 00:03:15,000 som använder den här typen av teknik för att

51 00:03:15,000 --> 00:03:19,000 uppnå information som de inte har rätt att uppnå.

52 00:03:19,000 --> 00:03:20,000 Ja.

53 00:03:20,000 --> 00:03:25,000 Och det här tar oss in i området du pratade om i dag.

54 00:03:25,000 --> 00:03:34,000 Det var väldigt intressant att följa ditt arbete

55 00:03:34,000 --> 00:03:37,000 genom threat intelligence och risk intelligence

56 00:03:37,000 --> 00:03:41,000 och göra en poäng av att inte mixa de två tillsammans.

57 00:03:41,000 --> 00:03:42,000 Ja, exakt.

58 00:03:42,000 --> 00:03:44,000 Kan vi gå in i det? Kan vi ha din definition om det?

59 00:03:44,000 --> 00:03:46,000 Ja, din definition om threat intelligence

60 00:03:46,000 --> 00:03:48,000 mot risk intelligence.

61 00:03:48,000 --> 00:03:50,000 Så vad är skillnaden i din opinion?

62 00:03:50,000 --> 00:03:54,000 Jag är mer i linje med en ISO-definition om det.

63 00:03:54,000 --> 00:03:59,000 Risk intelligence är en nomer från risk management

64 00:03:59,000 --> 00:04:01,000 och det finns ISO-definitioner för det.

65 00:04:01,000 --> 00:04:04,000 Risk management för mig, eller risk intelligence

66 00:04:04,000 --> 00:04:07,000 är en faktor av tid. Det är också information som

67 00:04:07,000 --> 00:04:10,000 typiskt inte är strukturerad. Det är information om

68 00:04:10,000 --> 00:04:13,000 saker som kan bli threater och threater levererar då

69 00:04:13,000 --> 00:04:17,000 levererar exploider för att göra en viss sak eller form.

70 00:04:17,000 --> 00:04:20,000 Så threater är också tidssensibla. Threater är

71 00:04:20,000 --> 00:04:24,000 i princip saker som händer i nära realtid eller i

72 00:04:24,000 --> 00:04:28,000 realtid. De levererar exploider och då gör de

73 00:04:28,000 --> 00:04:30,000 skälet som de ska göra.

74 00:04:30,000 --> 00:04:33,000 Den svårigheten med risk intelligence tror jag

75 00:04:33,000 --> 00:04:37,000 i min minne är att risker är mycket svårare att hitta

76 00:04:37,000 --> 00:04:40,000 eftersom man försöker förvänta sig något innan det

77 00:04:40,000 --> 00:04:41,000 faktiskt händer.

78 00:04:41,000 --> 00:04:42,000 Ja.

79 00:04:42,000 --> 00:04:45,000 Den svårigheten med det är att när du ser

80 00:04:45,000 --> 00:04:47,000 en threat och försöker patcha dina system,

81 00:04:47,000 --> 00:04:49,000 försöker släppa av attackerna, så har du inte

82 00:04:49,000 --> 00:04:52,000 typisktvis tid som du behöver för att lära dig

83 00:04:52,000 --> 00:04:53,000 vad som faktiskt händer.

84 00:04:53,000 --> 00:04:55,000 Eller analysera, du behöver förhindra det.

85 00:04:55,000 --> 00:04:58,000 Ja, och om du tittar på saker som standarderna

86 00:04:58,000 --> 00:05:01,000 ISFs, IRAM, den typen av saker som levererar risk

87 00:05:01,000 --> 00:05:04,000 management. Några av lösningarna där är att om du

88 00:05:04,000 --> 00:05:07,000 försöker få tillbaka tid genom att förvänta dig

89 00:05:07,000 --> 00:05:09,000 något innan det händer, så kan du samla mer

90 00:05:09,000 --> 00:05:11,000 evidens och mer data och lära dig från det.

91 00:05:11,000 --> 00:05:14,000 Och just nu har jag inte den känslan att vi

92 00:05:14,000 --> 00:05:17,000 lär oss från saker som vi kallar threat

93 00:05:17,000 --> 00:05:18,000 intelligence.

94 00:05:18,000 --> 00:05:19,000 Ja, ja.

95 00:05:19,000 --> 00:05:20,000 Jag kan fråga dig om det.

96 00:05:20,000 --> 00:05:21,000 Kanske, ja.

97 00:05:21,000 --> 00:05:22,000 Kanske rätt eller fel, men det är min

98 00:05:22,000 --> 00:05:25,000 syn på det. Jag fokuserar mer på risk

99 00:05:25,000 --> 00:05:28,000 intelligens, vilket är mycket svårare och

100 00:05:28,000 --> 00:05:30,000 mycket mer data som du behöver samla.

101 00:05:30,000 --> 00:05:32,000 Men jag tror på något som kallas proaktiv

102 00:05:32,000 --> 00:05:34,000 säkerhetsmetodologi, och det är något som jag

103 00:05:34,000 --> 00:05:37,000 utvecklade en tid sen, efter att ha sett alla

104 00:05:37,000 --> 00:05:40,000 dessa olika implementeringar och kommit till

105 00:05:40,000 --> 00:05:43,000 slut att om du har en SIEM, en IDS eller

106 00:05:43,000 --> 00:05:46,000 ett säkerhetssystem som loggar

107 00:05:46,000 --> 00:05:48,000 loggranskning, event, etc. och det inte

108 00:05:48,000 --> 00:05:50,000 ger en värde när det gäller att vara

109 00:05:50,000 --> 00:05:53,000 proaktiv, så måste du fråga om värdet

110 00:05:53,000 --> 00:05:54,000 i det här systemet.

111 00:05:54,000 --> 00:05:57,000 Ja, och det är faktiskt ganska

112 00:05:57,000 --> 00:06:00,000 vanligt i dag att folk köper

113 00:06:00,000 --> 00:06:03,000 deras SOC-funktion och det är mer eller

114 00:06:03,000 --> 00:06:06,000 mindre en gigantisk typ av data som ingen

115 00:06:06,000 --> 00:06:09,000 faktiskt får någon business-värde av.

116 00:06:09,000 --> 00:06:15,000 De skapar många IOC, men ingen…

117 00:06:15,000 --> 00:06:18,000 Vad är den verkliga betydelse för den här

118 00:06:18,000 --> 00:06:20,000 definitionen som vi har spenderat miljoner

119 00:06:20,000 --> 00:06:23,000 kronor eller dollar eller euro för att skapa?

120 00:06:23,000 --> 00:06:25,000 Är du med om det? Jag tycker att det är

121 00:06:25,000 --> 00:06:27,000 väldigt effektivt.

122 00:06:27,000 --> 00:06:29,000 Ja, jag menar, IOC är indikator för

123 00:06:29,000 --> 00:06:31,000 kompromiss. De pro’s och con’s med det är

124 00:06:31,000 --> 00:06:33,000 förstås att conen är att du behöver en

125 00:06:33,000 --> 00:06:35,000 attack som sker. Om en attack sker…

126 00:06:35,000 --> 00:06:37,000 Och du behöver faktiskt klassifiera det

127 00:06:37,000 --> 00:06:39,000 som en attack, du behöver faktiskt veta

128 00:06:39,000 --> 00:06:40,000 vad som händer.

129 00:06:40,000 --> 00:06:41,000 Vilket är interperteringen. Och det

130 00:06:41,000 --> 00:06:43,000 alltid beror på vem som interperterar

131 00:06:43,000 --> 00:06:45,000 vad, vad är deras filter, hur de

132 00:06:45,000 --> 00:06:47,000 förstår och förstår saker, etcetera.

133 00:06:47,000 --> 00:06:49,000 Så när du pratar om sådant här

134 00:06:49,000 --> 00:06:51,000 du har en viss mängd subjektivitet

135 00:06:51,000 --> 00:06:53,000 som du behöver, eller objektivitet,

136 00:06:53,000 --> 00:06:55,000 och du har folk som interperterar det

137 00:06:55,000 --> 00:06:57,000 med deras egen interpretation av

138 00:06:57,000 --> 00:06:59,000 vad en event faktiskt betyder.

139 00:06:59,000 --> 00:07:01,000 Om du tar dig ut ur den situationen

140 00:07:01,000 --> 00:07:03,000 och använder något som matematik

141 00:07:03,000 --> 00:07:05,000 är det en neutral sak. Så du

142 00:07:05,000 --> 00:07:07,000 konfigurerar något som en klassifiering

143 00:07:07,000 --> 00:07:09,000 som säger okej, det här definierar

144 00:07:09,000 --> 00:07:11,000 den typen av event, den här

145 00:07:11,000 --> 00:07:13,000 definierar den typen av grej.

146 00:07:13,000 --> 00:07:15,000 Men låt oss säga att

147 00:07:15,000 --> 00:07:17,000 i Monokre-exempel, där vi

148 00:07:17,000 --> 00:07:19,000 uttryckte SMB, det är generisk

149 00:07:19,000 --> 00:07:21,000 trafik för nästan många

150 00:07:21,000 --> 00:07:23,000 entreprenörer. Så hur

151 00:07:23,000 --> 00:07:25,000 matematiskt fungerar det för dig då?

152 00:07:25,000 --> 00:07:27,000 För du har legendarisk trafik

153 00:07:27,000 --> 00:07:29,000 som faktiskt använder samma protokoll

154 00:07:29,000 --> 00:07:31,000 och fungerar på samma sätt,

155 00:07:31,000 --> 00:07:33,000 inte helt på samma sätt, för vi

156 00:07:33,000 --> 00:07:35,000 kommer att ha det här dollar-signet

157 00:07:35,000 --> 00:07:37,000 randomt.

158 00:07:37,000 --> 00:07:39,000 Så okej, det kanske blir

159 00:07:39,000 --> 00:07:41,000 en förutsättning, eller

160 00:07:41,000 --> 00:07:43,000 låt oss säga att det blir en faktor för

161 00:07:43,000 --> 00:07:45,000 din matematik. Det här givet det här och

162 00:07:45,000 --> 00:07:47,000 det här och det här. Okej, då måste det vara det här.

163 00:07:47,000 --> 00:07:49,000 Är det det du menar? Jag fokuserar på

164 00:07:49,000 --> 00:07:51,000 om du ser trafik och

165 00:07:51,000 --> 00:07:53,000 det är en tillgänglighet till något utifrån ditt

166 00:07:53,000 --> 00:07:55,000 nätverk, så är första frågan varför det händer så.

167 00:07:55,000 --> 00:07:57,000 Okej, ja. Och om det är en tillgänglighet till

168 00:07:57,000 --> 00:07:59,000 något utifrån ditt nätverk och det

169 00:07:59,000 --> 00:08:01,000 styr ut data som kan vara

170 00:08:01,000 --> 00:08:03,000 tydligt,

171 00:08:03,000 --> 00:08:05,000 så är det en ännu

172 00:08:05,000 --> 00:08:07,000 viktigare fråga att fråga dig själv.

173 00:08:07,000 --> 00:08:09,000 Jag försöker inte fokusera på faktorn att vi

174 00:08:09,000 --> 00:08:11,000 har protokoll och operativ system

175 00:08:11,000 --> 00:08:13,000 som inte alltid är konfigurerade korrekt.

176 00:08:13,000 --> 00:08:15,000 Men jag försöker fokusera på

177 00:08:15,000 --> 00:08:17,000 större detaljer

178 00:08:17,000 --> 00:08:19,000 om att om en tillgänglighet

179 00:08:19,000 --> 00:08:21,000 händer, så varför

180 00:08:21,000 --> 00:08:23,000 händer det? Är det legitimerat eller inte?

181 00:08:23,000 --> 00:08:25,000 Eller till exempel om jag är tillgänglig till

182 00:08:25,000 --> 00:08:27,000 Akamai eller NTT

183 00:08:27,000 --> 00:08:29,000 data eller något annat,

184 00:08:29,000 --> 00:08:31,000 så är det servrar som används för

185 00:08:31,000 --> 00:08:33,000 patch-managering. Och om du

186 00:08:33,000 --> 00:08:35,000 minns, jag tror det var två år sedan

187 00:08:35,000 --> 00:08:37,000 i Black Hat, så var det en diskussion om

188 00:08:37,000 --> 00:08:39,000 att hänga attacker

189 00:08:39,000 --> 00:08:41,000 i legitimerad trafik.

190 00:08:41,000 --> 00:08:43,000 Så om du tittar på det, du har ditt

191 00:08:43,000 --> 00:08:45,000 firewall konfigurerat för en viss sak,

192 00:08:45,000 --> 00:08:47,000 det är patch-managering. Men vad jag säger är

193 00:08:47,000 --> 00:08:49,000 okej, jag förstår det, det är svårare,

194 00:08:49,000 --> 00:08:51,000 men varför inte göra sådant?

195 00:08:51,000 --> 00:08:53,000 Pröva att lägga ner ditt patch-managering

196 00:08:53,000 --> 00:08:55,000 trafik i en viss tidszon.

197 00:08:55,000 --> 00:08:57,000 Ja, så däremot

198 00:08:57,000 --> 00:08:59,000 i den här tiden,

199 00:08:59,000 --> 00:09:01,000 är det legitimerat eller inte?

200 00:09:01,000 --> 00:09:03,000 Det är inte en

201 00:09:03,000 --> 00:09:05,000 lösning till

202 00:09:05,000 --> 00:09:07,000 problemet, för om

203 00:09:07,000 --> 00:09:09,000 du är intressant för en

204 00:09:09,000 --> 00:09:11,000 threat-aktör eller nation-stater,

205 00:09:11,000 --> 00:09:13,000 så försöker de hitta det, och då

206 00:09:13,000 --> 00:09:15,000 mimikerar de det. Så det finns

207 00:09:15,000 --> 00:09:17,000 vissa saker du kan försöka göra, men

208 00:09:17,000 --> 00:09:19,000 i slutändan är inget helt säkert.

209 00:09:19,000 --> 00:09:21,000 Jag tänkte på en sak,

210 00:09:21,000 --> 00:09:23,000 om vi går tillbaka till

211 00:09:23,000 --> 00:09:25,000 skillnaden mellan threat-intelligencen

212 00:09:25,000 --> 00:09:27,000 och risk-intelligencen,

213 00:09:27,000 --> 00:09:29,000 risk-intelligencen, är det inte

214 00:09:29,000 --> 00:09:31,000 att bygga på

215 00:09:31,000 --> 00:09:33,000 post-threat-intelligencen?

216 00:09:33,000 --> 00:09:35,000 För du tittar på

217 00:09:35,000 --> 00:09:37,000 det som har skett

218 00:09:37,000 --> 00:09:39,000 i andra

219 00:09:39,000 --> 00:09:41,000 länder och så vidare,

220 00:09:41,000 --> 00:09:43,000 som med Black Energy

221 00:09:43,000 --> 00:09:45,000 och elektionerna

222 00:09:45,000 --> 00:09:47,000 och så vidare, och du hittar på

223 00:09:47,000 --> 00:09:49,000 några av de

224 00:09:49,000 --> 00:09:51,000 indikatorerna

225 00:09:51,000 --> 00:09:53,000 för något som är så dåligt

226 00:09:53,000 --> 00:09:55,000 som det går ner.

227 00:09:55,000 --> 00:09:57,000 Och det är,

228 00:09:57,000 --> 00:09:59,000 du måste öka din

229 00:09:59,000 --> 00:10:01,000 uppmärksamhet här och

230 00:10:01,000 --> 00:10:03,000 vara på väg för det, för

231 00:10:03,000 --> 00:10:05,000 det finns en stor chans

232 00:10:05,000 --> 00:10:07,000 att något dåligt kommer att hända.

233 00:10:07,000 --> 00:10:09,000 Så jag skulle säga, först

234 00:10:09,000 --> 00:10:11,000 en väldigt bra poäng. Ja, jag stämmer till en nivå.

235 00:10:11,000 --> 00:10:13,000 Vi kommer alltid att använda historien och

236 00:10:13,000 --> 00:10:15,000 historiska attackdata för att lära oss

237 00:10:15,000 --> 00:10:17,000 från den historiska attackdata.

238 00:10:17,000 --> 00:10:19,000 Mer ofta än inte, om vi tittar på risker,

239 00:10:19,000 --> 00:10:21,000 vi har historiska data

240 00:10:21,000 --> 00:10:23,000 och då försöker vi förvänta oss om något

241 00:10:23,000 --> 00:10:25,000 nytt kan hända. Så du kommer alltid

242 00:10:25,000 --> 00:10:27,000 att ha en mix. Och om du tittar på

243 00:10:27,000 --> 00:10:29,000 risk-management, risk-management säger

244 00:10:29,000 --> 00:10:31,000 att en risk är A, kan leda

245 00:10:31,000 --> 00:10:33,000 till threat A, B, C, D, E

246 00:10:33,000 --> 00:10:35,000 och F. Och så har du

247 00:10:35,000 --> 00:10:37,000 indikatorer, kompromisser och så vidare.

248 00:10:37,000 --> 00:10:39,000 Det enda jag säger är att om du har

249 00:10:39,000 --> 00:10:41,000 den faktorn tid och du försöker vara

250 00:10:41,000 --> 00:10:43,000 förväntad, proaktiv, så har du

251 00:10:43,000 --> 00:10:45,000 mer möjlighet och möjlighet att

252 00:10:45,000 --> 00:10:47,000 samla in information som hjälper dig att

253 00:10:47,000 --> 00:10:49,000 stödja den attacken i framtiden.

254 00:10:49,000 --> 00:10:51,000 Så det jag egentligen säger är att

255 00:10:51,000 --> 00:10:53,000 vi har gjort mycket arbete med att

256 00:10:53,000 --> 00:10:55,000 samla in lock-management och sådant

257 00:10:55,000 --> 00:10:57,000 men vi har kanske inte gjort

258 00:10:57,000 --> 00:10:59,000 så bra jobb som vi kan

259 00:10:59,000 --> 00:11:01,000 i att vara mer proaktiva och defensiva.

260 00:11:01,000 --> 00:11:03,000 Nej, jag stämmer med det.

261 00:11:03,000 --> 00:11:05,000 För det andra handlar det om risk-

262 00:11:05,000 --> 00:11:07,000 intelligens, det betyder att jag

263 00:11:07,000 --> 00:11:09,000 frågar människor, så varför inte vi bara

264 00:11:09,000 --> 00:11:11,000 använder många av de samma offensiva

265 00:11:11,000 --> 00:11:13,000 teknikerna för att använda

266 00:11:13,000 --> 00:11:15,000 det som en försäkring.

267 00:11:15,000 --> 00:11:17,000 Så om vi inte lär oss från en attack,

268 00:11:17,000 --> 00:11:19,000 om vi inte vet att folk använder Kali

269 00:11:19,000 --> 00:11:21,000 eller om vi inte vet att de använder DDoS

270 00:11:21,000 --> 00:11:23,000 attacker, använder specifika

271 00:11:23,000 --> 00:11:25,000 Mirai, eller vad det kommer att

272 00:11:25,000 --> 00:11:27,000 vara, så är vi inte riktigt

273 00:11:27,000 --> 00:11:29,000 intresserade av eventet.

274 00:11:29,000 --> 00:11:31,000 Så när du börjar komma in i saker som

275 00:11:31,000 --> 00:11:33,000 incident management, en av sakerna om

276 00:11:33,000 --> 00:11:35,000 incident management på grund av NIST och andra

277 00:11:35,000 --> 00:11:37,000 standarder är att du skapar en vetenskapbas.

278 00:11:37,000 --> 00:11:39,000 Du skapar en vetenskapbas för att du vill

279 00:11:39,000 --> 00:11:41,000 lära dig. Om du lär dig från något

280 00:11:41,000 --> 00:11:43,000 så kan du använda den

281 00:11:43,000 --> 00:11:45,000 informationen för att försöka förvänta dig nya saker.

282 00:11:45,000 --> 00:11:47,000 Och det

283 00:11:47,000 --> 00:11:49,000 gör vi nog inte nu i industrin.

284 00:11:49,000 --> 00:11:51,000 Inte tillräckligt, åtminstone.

285 00:11:51,000 --> 00:11:53,000 Nej, men det är mer eller mindre

286 00:11:53,000 --> 00:11:55,000 att vi skapar något som förhindrar den exakta

287 00:11:55,000 --> 00:11:57,000 vektorn i det exakta systemet.

288 00:11:57,000 --> 00:11:59,000 Så det lämnar ingen dynamik

289 00:11:59,000 --> 00:12:01,000 det skiljer sig inte.

290 00:12:01,000 --> 00:12:03,000 Så det är

291 00:12:03,000 --> 00:12:05,000 en bra fråga, för jag är intresserad

292 00:12:05,000 --> 00:12:07,000 av din dynamiska tillgång till

293 00:12:07,000 --> 00:12:09,000 detta, för jag tycker att jag hittar den här

294 00:12:09,000 --> 00:12:11,000 området superintressant, för jag gör

295 00:12:11,000 --> 00:12:13,000 mycket automatiska saker, jag gör mycket

296 00:12:13,000 --> 00:12:15,000 fuzzing, och det är inte samma

297 00:12:15,000 --> 00:12:17,000 men jag har samma problem.

298 00:12:17,000 --> 00:12:19,000 Det är likadant, det är väldigt likadant.

299 00:12:19,000 --> 00:12:21,000 Du behöver generiskt

300 00:12:21,000 --> 00:12:23,000 och dynamiskt

301 00:12:23,000 --> 00:12:25,000 samverka med vissa saker.

302 00:12:25,000 --> 00:12:27,000 Så från en cool

303 00:12:27,000 --> 00:12:29,000 sätt att beskriva det, så

304 00:12:29,000 --> 00:12:31,000 i fuzzing har du också en framgång

305 00:12:31,000 --> 00:12:33,000 av saker som hjälper dig att förbättra processen.

306 00:12:33,000 --> 00:12:35,000 Du har ändå analyser som tar upp 90-95%

307 00:12:35,000 --> 00:12:37,000 av din tid, men

308 00:12:37,000 --> 00:12:39,000 om du använder vissa saker i automatiseringen

309 00:12:39,000 --> 00:12:41,000 som vi gör, så kan du förbättra

310 00:12:41,000 --> 00:12:43,000 den processen så att du kan investera

311 00:12:43,000 --> 00:12:45,000 mer tid i att hitta något som är relevant.

312 00:12:45,000 --> 00:12:47,000 Så det jag säger är

313 00:12:47,000 --> 00:12:49,000 om vi ska prata om

314 00:12:49,000 --> 00:12:51,000 artificiell intelligens, och vi är inte

315 00:12:51,000 --> 00:12:53,000 så långt fram än vi skulle kunna vara

316 00:12:53,000 --> 00:12:55,000 så varför inte använda de

317 00:12:55,000 --> 00:12:57,000 koncepten i en mån eller form för att

318 00:12:57,000 --> 00:12:59,000 samverka med information, för att lära av det

319 00:12:59,000 --> 00:13:01,000 och sen vara proaktiv och försäkrande.

320 00:13:01,000 --> 00:13:03,000 Men det innebär också att du måste

321 00:13:03,000 --> 00:13:05,000 lära dig om attacker och

322 00:13:05,000 --> 00:13:07,000 attacktekniker och bygga det in i

323 00:13:07,000 --> 00:13:09,000 datakollektionsprocessen.

324 00:13:09,000 --> 00:13:11,000 Så jag använder saker som DNS, kravande,

325 00:13:11,000 --> 00:13:13,000 försöka se om jag kan göra en zonetransfering

326 00:13:13,000 --> 00:13:15,000 och sådana saker. Inte för att jag är maligiös

327 00:13:15,000 --> 00:13:17,000 utan jag vill bara göra folk medvetna om saker som

328 00:13:17,000 --> 00:13:19,000 open source intel. Och det är en annan

329 00:13:19,000 --> 00:13:21,000 sak, många människor pratar om open source intel

330 00:13:21,000 --> 00:13:23,000 men de förstår inte riktigt konceptet

331 00:13:23,000 --> 00:13:25,000 och vad det egentligen betyder.

332 00:13:25,000 --> 00:13:27,000 Alla dessa saker, du kan samla

333 00:13:27,000 --> 00:13:29,000 en hel del information utan att

334 00:13:29,000 --> 00:13:31,000 ta hand om systemet.

335 00:13:31,000 --> 00:13:33,000 Så snart du har tagit hand om systemet

336 00:13:33,000 --> 00:13:35,000 så styrs antivirusen och så vidare.

337 00:13:35,000 --> 00:13:37,000 Exakt, och i ditt tal

338 00:13:37,000 --> 00:13:39,000 nämnde du Aarons

339 00:13:39,000 --> 00:13:41,000 arbete och det är

340 00:13:41,000 --> 00:13:43,000 precis det. Jag menar, att ta

341 00:13:43,000 --> 00:13:45,000 publika utsläpp av

342 00:13:45,000 --> 00:13:47,000 kompromisssystem och

343 00:13:47,000 --> 00:13:49,000 utsläppa intelligensinformation

344 00:13:49,000 --> 00:13:51,000 från det.

345 00:13:51,000 --> 00:13:53,000 Så Aarons och jag har jobbat tillsammans

346 00:13:53,000 --> 00:13:55,000 och jag har lärt mig så mycket från honom

347 00:13:55,000 --> 00:13:57,000 så jag upptäcker det och det är bara

348 00:13:57,000 --> 00:13:59,000 att ta hand om det.

349 00:13:59,000 --> 00:14:01,000 När vi jobbade på detta hade vi

350 00:14:01,000 --> 00:14:03,000 olika mål. Min mål var

351 00:14:03,000 --> 00:14:05,000 att försöka få

352 00:14:05,000 --> 00:14:07,000 en plats för utsläpp

353 00:14:07,000 --> 00:14:09,000 så att jag kunde visa folk vilka länder som

354 00:14:09,000 --> 00:14:11,000 är beroende av attacker än andra.

355 00:14:11,000 --> 00:14:13,000 Så medan han samlar

356 00:14:13,000 --> 00:14:15,000 mycket mer information om utsläpp

357 00:14:15,000 --> 00:14:17,000 så samlar jag bara en viss

358 00:14:17,000 --> 00:14:19,000 del, som är e-mails.

359 00:14:19,000 --> 00:14:21,000 Och sen vill jag se om jag kan få

360 00:14:21,000 --> 00:14:23,000 en IP för den e-mailen och

361 00:14:23,000 --> 00:14:25,000 sen skicka den till ett specifikt land.

362 00:14:25,000 --> 00:14:27,000 Det finns pro’s och con’s med den här uppgiften.

363 00:14:27,000 --> 00:14:29,000 Men han gör

364 00:14:29,000 --> 00:14:31,000 hans saker mer komprehensivt med utsläpp

365 00:14:31,000 --> 00:14:33,000 och så vidare, vilket är ett helt intressant

366 00:14:33,000 --> 00:14:35,000 område i och för sig.

367 00:14:35,000 --> 00:14:37,000 Som att titta på utsläppen, hur kan du förvänta dig

368 00:14:37,000 --> 00:14:39,000 vem som ska ta vilken utsläpp.

369 00:14:39,000 --> 00:14:41,000 Det är skrämmande. Men det är

370 00:14:41,000 --> 00:14:43,000 verkligen det vi försöker göra.

371 00:14:43,000 --> 00:14:45,000 Jag på mer riskintelligenssidan

372 00:14:45,000 --> 00:14:47,000 och Aaron mer på

373 00:14:47,000 --> 00:14:49,000 att visa folk vad

374 00:14:49,000 --> 00:14:51,000 fallacyn och människor och

375 00:14:51,000 --> 00:14:53,000 utsläppen vi skapar kan leda till

376 00:14:53,000 --> 00:14:55,000 utsläpp och alla kommer att bli utsläppade

377 00:14:55,000 --> 00:14:57,000 på nåt sätt.

378 00:14:57,000 --> 00:14:59,000 Så när du, låt oss säga

379 00:14:59,000 --> 00:15:01,000 i ditt utsläpp,

380 00:15:01,000 --> 00:15:03,000 om vi bara pratar i generika termer, för det här är

381 00:15:03,000 --> 00:15:05,000 ett väldigt stort temat, jag tror att vi kan

382 00:15:05,000 --> 00:15:07,000 prata om det här

383 00:15:07,000 --> 00:15:09,000 överhuvudtaget. Men låt oss säga

384 00:15:09,000 --> 00:15:11,000 att om du

385 00:15:11,000 --> 00:15:13,000 har det på ditt sätt,

386 00:15:13,000 --> 00:15:15,000 det första du säger, till exempel e-mailadressen,

387 00:15:15,000 --> 00:15:17,000 det är en bra del av värderande

388 00:15:17,000 --> 00:15:19,000 information, sen skruvar du den tillbaka.

389 00:15:19,000 --> 00:15:21,000 Men låt oss säga att det är en Google,

390 00:15:21,000 --> 00:15:23,000 MX är en Google.

391 00:15:23,000 --> 00:15:25,000 Så den verkliga MX-rekorden är en Google.

392 00:15:25,000 --> 00:15:27,000 Då leder det inte till något.

393 00:15:27,000 --> 00:15:29,000 Då skruvar du

394 00:15:29,000 --> 00:15:31,000 och frågar om det sker i något annat

395 00:15:31,000 --> 00:15:33,000 eller hur

396 00:15:33,000 --> 00:15:35,000 är din metod

397 00:15:35,000 --> 00:15:37,000 av att skruva eller

398 00:15:37,000 --> 00:15:39,000 utsläppa informationen.

399 00:15:39,000 --> 00:15:41,000 Catch DNS och så vidare.

400 00:15:41,000 --> 00:15:43,000 Det är en bra del.

401 00:15:43,000 --> 00:15:45,000 Det är en bra del.

402 00:15:45,000 --> 00:15:47,000 Så e-mailadressen,

403 00:15:47,000 --> 00:15:49,000 jag måste vara försiktig för

404 00:15:49,000 --> 00:15:51,000 jag bor i Tyskland och det finns regler och

405 00:15:51,000 --> 00:15:53,000 restriktioner för vad jag kan och inte kan skaffa.

406 00:15:53,000 --> 00:15:55,000 Det är skälet till

407 00:15:55,000 --> 00:15:57,000 att om jag skaffar passvård

408 00:15:57,000 --> 00:15:59,000 tar jag dem ut ur initialdumpen

409 00:15:59,000 --> 00:16:01,000 för min förutsättning är att

410 00:16:01,000 --> 00:16:03,000 min system kommer att bli kompromisserad

411 00:16:03,000 --> 00:16:05,000 ju mer intressant det blir.

412 00:16:05,000 --> 00:16:07,000 Ingen sån sak är 100% säkerhet.

413 00:16:07,000 --> 00:16:09,000 Så om jag bara har bitar och delar

414 00:16:09,000 --> 00:16:11,000 av information i separata system

415 00:16:11,000 --> 00:16:13,000 även om någon skapar en,

416 00:16:13,000 --> 00:16:15,000 så får de inte hela datan.

417 00:16:15,000 --> 00:16:17,000 Så du måste tänka på att skapa en lösning

418 00:16:17,000 --> 00:16:19,000 med förutsättningen att någon

419 00:16:19,000 --> 00:16:21,000 kommer att förlora ditt eget system.

420 00:16:21,000 --> 00:16:23,000 Det är lite konstigt, men det är så det är.

421 00:16:23,000 --> 00:16:25,000 Den andra delen med e-mails,

422 00:16:25,000 --> 00:16:27,000 vad jag försöker göra är

423 00:16:27,000 --> 00:16:29,000 att jag försöker ta en titt

424 00:16:29,000 --> 00:16:31,000 utan att proaktivt titta mycket djupare

425 00:16:31,000 --> 00:16:33,000 om jag kan få en IP för en e-mail.

426 00:16:33,000 --> 00:16:35,000 Det fungerar inte alltid.

427 00:16:35,000 --> 00:16:37,000 Jag tror att ungefär det sättet jag har

428 00:16:37,000 --> 00:16:39,000 av e-mails med passvård

429 00:16:39,000 --> 00:16:41,000 kanske är

430 00:16:41,000 --> 00:16:43,000 ungefär 25-30% av det.

431 00:16:43,000 --> 00:16:45,000 Vi pratar om

432 00:16:45,000 --> 00:16:47,000 4,2 miljarder e-mails

433 00:16:47,000 --> 00:16:49,000 som jag har just nu.

434 00:16:49,000 --> 00:16:51,000 De har ungefär 30% av dem

435 00:16:51,000 --> 00:16:53,000 som har en IP.

436 00:16:53,000 --> 00:16:55,000 Det är en indikator.

437 00:16:55,000 --> 00:16:57,000 Det är inte en enskild verktyg.

438 00:16:57,000 --> 00:16:59,000 Jag förvånar folk från att titta på

439 00:16:59,000 --> 00:17:01,000 nån lösning som är en enskild verktyg.

440 00:17:01,000 --> 00:17:03,000 För det kan det inte vara så.

441 00:17:03,000 --> 00:17:05,000 Även om vi tittar matematiskt på

442 00:17:05,000 --> 00:17:07,000 Bayesian-algoritmer,

443 00:17:07,000 --> 00:17:09,000 om vi får 80% så är vi verkligen fantastiska.

444 00:17:09,000 --> 00:17:11,000 Mest av tiden är vi

445 00:17:11,000 --> 00:17:13,000 runt 50-60%.

446 00:17:13,000 --> 00:17:15,000 Men det är en sak som

447 00:17:15,000 --> 00:17:17,000 när du pratar med några kommersiella företag

448 00:17:17,000 --> 00:17:19,000 så säger de inte det.

449 00:17:19,000 --> 00:17:21,000 Nej, inte alls. Det går till 11.

450 00:17:21,000 --> 00:17:25,000 Nej, men en annan intressant faktor

451 00:17:25,000 --> 00:17:27,000 är att du nämnde

452 00:17:27,000 --> 00:17:29,000 kommandokontrollinfrastruktur

453 00:17:29,000 --> 00:17:31,000 väldigt kort. Hur fungerar det?

454 00:17:31,000 --> 00:17:33,000 Har du API’s till Facebook och Twitter?

455 00:17:33,000 --> 00:17:35,000 Vi har sett många

456 00:17:35,000 --> 00:17:37,000 fantastiska kommandokontroll-faktorer

457 00:17:37,000 --> 00:17:39,000 med att använda

458 00:17:39,000 --> 00:17:41,000 väldigt översiktligt

459 00:17:41,000 --> 00:17:43,000 utsensorerade, eller inte utsensorerade

460 00:17:43,000 --> 00:17:45,000 men översiktligt tillgängliga stora

461 00:17:45,000 --> 00:17:47,000 service som Facebook och Twitter.

462 00:17:47,000 --> 00:17:49,000 Jag är en stor fan av om det finns API’s

463 00:17:49,000 --> 00:17:51,000 som är dokumenterade och standarderade

464 00:17:51,000 --> 00:17:53,000 så det gör ingen syn på mig

465 00:17:53,000 --> 00:17:55,000 när jag säger att jag skapar ett proprietoriskt system

466 00:17:55,000 --> 00:17:57,000 som bräcker efter att Twitter

467 00:17:57,000 --> 00:17:59,000 eller Facebook eller någon annan förändrar sin API.

468 00:17:59,000 --> 00:18:01,000 Och de gör det mer ofta än inte.

469 00:18:01,000 --> 00:18:03,000 Så om jag följer den standarden

470 00:18:03,000 --> 00:18:05,000 så kan jag inte få alla data

471 00:18:05,000 --> 00:18:07,000 men jag får tillräckligt mycket för att göra en förutsättning.

472 00:18:07,000 --> 00:18:09,000 Frågan är alltid

473 00:18:09,000 --> 00:18:11,000 om din förväntan är att få all information

474 00:18:11,000 --> 00:18:13,000 så blir du aldrig glad.

475 00:18:13,000 --> 00:18:15,000 Nej, det är klart. Det kommer alltid vara

476 00:18:15,000 --> 00:18:17,000 krav.

477 00:18:17,000 --> 00:18:19,000 Vi pratar om probabiliteter

478 00:18:19,000 --> 00:18:21,000 så med det måste jag alltid förstå

479 00:18:21,000 --> 00:18:23,000 att jag aldrig har 100%

480 00:18:23,000 --> 00:18:25,000 så jag använder API’s

481 00:18:25,000 --> 00:18:27,000 jag har min egen API

482 00:18:27,000 --> 00:18:29,000 så min mål är att när jag skapar information

483 00:18:29,000 --> 00:18:31,000 så vill jag att kunderna som har vår förutsättning

484 00:18:31,000 --> 00:18:33,000 ska kunna importera det i sin förutsättning.

485 00:18:33,000 --> 00:18:35,000 Så om jag ser ett bräckt e-konto

486 00:18:35,000 --> 00:18:37,000 eller en IP

487 00:18:37,000 --> 00:18:39,000 så kan du automatiskt via JSON

488 00:18:39,000 --> 00:18:41,000 importera det i din förutsättning

489 00:18:41,000 --> 00:18:43,000 och du kan göra en korrelation.

490 00:18:43,000 --> 00:18:45,000 När du har jobbat med förutsättningar

491 00:18:45,000 --> 00:18:47,000 i 20 år och du undrar

492 00:18:47,000 --> 00:18:49,000 var är korrelationen?

493 00:18:49,000 --> 00:18:51,000 Och det finns inga.

494 00:18:51,000 --> 00:18:53,000 Så det är viktigt att inte

495 00:18:53,000 --> 00:18:55,000 lägga alla dina ägg i en basket

496 00:18:55,000 --> 00:18:57,000 för den API är ganska lätt att äga

497 00:18:57,000 --> 00:18:59,000 eller att bräcka.

498 00:18:59,000 --> 00:19:01,000 Jag har en annan fråga

499 00:19:01,000 --> 00:19:03,000 och det handlar om

500 00:19:03,000 --> 00:19:05,000 ett område som du

501 00:19:05,000 --> 00:19:07,000 nästan inte berättade i ditt tal

502 00:19:07,000 --> 00:19:09,000 och det handlar om attribution

503 00:19:09,000 --> 00:19:11,000 attribution-spelet.

504 00:19:11,000 --> 00:19:13,000 Du sa

505 00:19:13,000 --> 00:19:15,000 om

506 00:19:15,000 --> 00:19:17,000 något som kategoriseras

507 00:19:17,000 --> 00:19:19,000 som cyberkrim, hur kan vi veta

508 00:19:19,000 --> 00:19:21,000 att det är cyberkrim

509 00:19:21,000 --> 00:19:23,000 och hur kan vi veta

510 00:19:23,000 --> 00:19:25,000 att det är cyberkrim?

511 00:19:25,000 --> 00:19:27,000 Det är en väldigt valida

512 00:19:27,000 --> 00:19:29,000 fråga som vi faktiskt pratade om

513 00:19:29,000 --> 00:19:31,000 i en av våra

514 00:19:31,000 --> 00:19:33,000 avsnitt

515 00:19:33,000 --> 00:19:35,000 av Säkerhetspodkasten

516 00:19:35,000 --> 00:19:37,000 vilket är

517 00:19:37,000 --> 00:19:39,000 vad är

518 00:19:39,000 --> 00:19:41,000 när någon löser något som

519 00:19:41,000 --> 00:19:43,000 Vault 7

520 00:19:43,000 --> 00:19:45,000 vad är agendan bakom det

521 00:19:45,000 --> 00:19:47,000 för det finns alltid en

522 00:19:47,000 --> 00:19:49,000 agendan bakom det.

523 00:19:49,000 --> 00:19:51,000 Vad är det riktiga objektivet?

524 00:19:51,000 --> 00:19:53,000 Vad är gruppen bakom den här attacken?

525 00:19:53,000 --> 00:19:55,000 Om du inte vet

526 00:19:55,000 --> 00:19:57,000 säkert vad den riktiga agendan är

527 00:19:57,000 --> 00:19:59,000 så är jag väldigt omedveten

528 00:19:59,000 --> 00:20:01,000 och är väldigt försiktig med informationen.

529 00:20:01,000 --> 00:20:03,000 Du måste förstås ta en titt på dumpen

530 00:20:03,000 --> 00:20:05,000 och försöka uttrycka

531 00:20:05,000 --> 00:20:07,000 vilka behov du behöver

532 00:20:07,000 --> 00:20:09,000 att uttrycka från dumpen

533 00:20:09,000 --> 00:20:11,000 för att skydda dina kunder.

534 00:20:11,000 --> 00:20:13,000 Men det är något som är frågande för mig.

535 00:20:13,000 --> 00:20:15,000 Hade jag fått svara på det

536 00:20:15,000 --> 00:20:17,000 eller ge dig en ansvar

537 00:20:17,000 --> 00:20:19,000 så skulle jag gärna säga

538 00:20:19,000 --> 00:20:21,000 att det är de mindre

539 00:20:21,000 --> 00:20:23,000 ljusgrupperna som

540 00:20:23,000 --> 00:20:25,000 uttrycker information

541 00:20:25,000 --> 00:20:27,000 eftersom de vill

542 00:20:27,000 --> 00:20:29,000 att folk ska veta

543 00:20:29,000 --> 00:20:31,000 istället för någon

544 00:20:31,000 --> 00:20:33,000 mysteriös Mr. X

545 00:20:33,000 --> 00:20:35,000 som ingen vet om

546 00:20:35,000 --> 00:20:37,000 som har något som

547 00:20:37,000 --> 00:20:39,000 kan väldigt snabbt

548 00:20:39,000 --> 00:20:41,000 ses som politiskt.

549 00:20:41,000 --> 00:20:43,000 Så om en grupp som Wikileaks

550 00:20:43,000 --> 00:20:45,000 och Julian Assange

551 00:20:45,000 --> 00:20:47,000 uttrycker information

552 00:20:47,000 --> 00:20:49,000 så är det en del

553 00:20:49,000 --> 00:20:51,000 som har haft en väldigt

554 00:20:51,000 --> 00:20:53,000 oerotisk och oerhört

555 00:20:53,000 --> 00:20:55,000 behandling de senaste åren.

556 00:20:55,000 --> 00:20:57,000 Och tredje är att Julian Assange

557 00:20:57,000 --> 00:20:59,000 uttryckte en hel del människor

558 00:20:59,000 --> 00:21:01,000 under bussen för att

559 00:21:01,000 --> 00:21:03,000 skydda sig.

560 00:21:03,000 --> 00:21:05,000 Jag förstår och upplever

561 00:21:05,000 --> 00:21:07,000 att han har varit i en embassy

562 00:21:07,000 --> 00:21:09,000 för så lång tid

563 00:21:09,000 --> 00:21:11,000 och jag är orolig för honom

564 00:21:11,000 --> 00:21:13,000 men i andra sätt

565 00:21:13,000 --> 00:21:15,000 är jag inte orolig för honom

566 00:21:15,000 --> 00:21:17,000 eftersom jag uttrycker honom

567 00:21:17,000 --> 00:21:19,000 i en hel del.

568 00:21:19,000 --> 00:21:21,000 Vad kan jag säga?

569 00:21:21,000 --> 00:21:23,000 Du var här förra kvällen.

570 00:21:23,000 --> 00:21:25,000 Ja, men jag är

571 00:21:25,000 --> 00:21:27,000 väldigt glad att jag är förebyggd.

572 00:21:27,000 --> 00:21:29,000 Ja, bara en skit.

573 00:21:29,000 --> 00:21:31,000 Jag stämmer över att folk

574 00:21:31,000 --> 00:21:33,000 kan veta och jag kan

575 00:21:33,000 --> 00:21:35,000 äta en björk.

576 00:21:35,000 --> 00:21:37,000 Okej, om vi går tillbaka till

577 00:21:37,000 --> 00:21:39,000 teknologin här.

578 00:21:39,000 --> 00:21:41,000 Du har byggt din egen lösning

579 00:21:41,000 --> 00:21:43,000 att uttrycka information

580 00:21:43,000 --> 00:21:45,000 att uttrycka

581 00:21:45,000 --> 00:21:47,000 korrelationer

582 00:21:47,000 --> 00:21:49,000 och

583 00:21:49,000 --> 00:21:51,000 förutsättningar.

584 00:21:51,000 --> 00:21:53,000 Berätta lite mer om det.

585 00:21:53,000 --> 00:21:55,000 Hur kom det till att vara så?

586 00:21:55,000 --> 00:21:57,000 Du såg förstås uttryckten

587 00:21:57,000 --> 00:21:59,000 i SMB eller Syslogs

588 00:21:59,000 --> 00:22:01,000 eller SOC-system.

589 00:22:01,000 --> 00:22:03,000 Och jag kan se

590 00:22:03,000 --> 00:22:05,000 från din berättelse och

591 00:22:05,000 --> 00:22:07,000 din berättelse om

592 00:22:07,000 --> 00:22:09,000 historien och hur det här är

593 00:22:09,000 --> 00:22:11,000 open source matematik

594 00:22:11,000 --> 00:22:13,000 att du säkert har lite bas i matematik.

595 00:22:13,000 --> 00:22:15,000 Ja.

596 00:22:15,000 --> 00:22:17,000 Det vi använder i matematiken är

597 00:22:17,000 --> 00:22:19,000 vad vi använder för uttryck.

598 00:22:19,000 --> 00:22:21,000 Och jag tror att det här är en av

599 00:22:21,000 --> 00:22:23,000 de lättaste sättet att ge uttryck

600 00:22:23,000 --> 00:22:25,000 i en uttryck som är neutral.

601 00:22:25,000 --> 00:22:27,000 Och det är en av de största problemen

602 00:22:27,000 --> 00:22:29,000 när du tittar på de här

603 00:22:29,000 --> 00:22:31,000 kommersiella lösningarna.

604 00:22:31,000 --> 00:22:33,000 Någon uttrycker något som något.

605 00:22:33,000 --> 00:22:35,000 Du får en 50- eller 150-pages rapport

606 00:22:35,000 --> 00:22:37,000 och du måste bero på att de

607 00:22:37,000 --> 00:22:39,000 använder situationen rätt.

608 00:22:39,000 --> 00:22:41,000 Och i vissa av de upplevelserna

609 00:22:41,000 --> 00:22:43,000 som i Ukraina för krigsavtal

610 00:22:43,000 --> 00:22:45,000 har du aldrig all information.

611 00:22:45,000 --> 00:22:47,000 Så de förutsättningar som du får

612 00:22:47,000 --> 00:22:49,000 måste du bero på något som

613 00:22:49,000 --> 00:22:51,000 forensisk vetenskap eller principer som är

614 00:22:51,000 --> 00:22:53,000 publiserade och standarderade och som är

615 00:22:53,000 --> 00:22:55,000 steg för steg. Så att om någon frågar dig

616 00:22:55,000 --> 00:22:57,000 hur kommer du till den här konklusionen

617 00:22:57,000 --> 00:22:59,000 säger du att du gjorde det och det

618 00:22:59,000 --> 00:23:01,000 och det och det och det och det.

619 00:23:01,000 --> 00:23:03,000 Och om det är en matematikprincipe

620 00:23:03,000 --> 00:23:05,000 tar du emotierna ut. Och det är svårt.

621 00:23:05,000 --> 00:23:07,000 Jag säger inte att det inte är svårt

622 00:23:07,000 --> 00:23:09,000 men det är nödvändigt.

623 00:23:09,000 --> 00:23:11,000 Ja, det är lätt att gå ner i

624 00:23:11,000 --> 00:23:13,000 förhållande till var du är

625 00:23:13,000 --> 00:23:15,000 och vad du har gjort i det tidigare.

626 00:23:15,000 --> 00:23:17,000 Vi har båda gjort

627 00:23:17,000 --> 00:23:19,000 forensisk arbete i det

628 00:23:19,000 --> 00:23:21,000 förra året och det är super

629 00:23:21,000 --> 00:23:23,000 svårt att vara objektiv för

630 00:23:23,000 --> 00:23:25,000 du skapar en teori

631 00:23:25,000 --> 00:23:27,000 i din tro och sen

632 00:23:27,000 --> 00:23:29,000 kollar du för allt som

633 00:23:29,000 --> 00:23:31,000 kommer att korridera den teori

634 00:23:31,000 --> 00:23:33,000 eller förbättra dina argument.

635 00:23:33,000 --> 00:23:35,000 Men vad du måste göra är

636 00:23:35,000 --> 00:23:37,000 att kolla på all evidens och

637 00:23:37,000 --> 00:23:39,000 förbereda endast delar av evidens

638 00:23:39,000 --> 00:23:41,000 som kommer att slå

639 00:23:41,000 --> 00:23:42,820 out of the room.

640 00:23:43,240 --> 00:23:45,020 So that’s really important

641 00:23:45,020 --> 00:23:46,160 as a forensic

642 00:23:46,160 --> 00:23:49,220 scientist or forensic technician.

643 00:23:49,460 --> 00:23:50,920 Yeah, and you know the frustrating thing

644 00:23:50,920 --> 00:23:53,040 about that, and we all go through the same thing

645 00:23:53,040 --> 00:23:54,900 is when you’re right in the middle of trying to

646 00:23:54,900 --> 00:23:56,880 find out what an event actually means

647 00:23:56,880 --> 00:23:58,940 you never have all the information.

648 00:23:59,340 --> 00:24:00,960 Like for instance with Firesail, we had

649 00:24:00,960 --> 00:24:02,860 the last pieces of information that brought

650 00:24:02,860 --> 00:24:04,820 everything back together again six months

651 00:24:04,820 --> 00:24:06,680 after the event happened. And I mean

652 00:24:06,680 --> 00:24:09,100 when you’re in forensics and you’re dealing with threats

653 00:24:09,100 --> 00:24:10,460 you don’t have that time.

654 00:24:10,460 --> 00:24:12,640 You gotta come to a conclusion fairly quickly

655 00:24:12,640 --> 00:24:14,620 and you know the conclusion

656 00:24:14,620 --> 00:24:16,560 can maybe be 50-50 based on

657 00:24:16,560 --> 00:24:18,140 the information that you’ve collected and have.

658 00:24:18,760 --> 00:24:20,640 And I mean the better or worse log management

659 00:24:20,640 --> 00:24:22,580 is the better or worse the triggers

660 00:24:22,580 --> 00:24:24,700 and the alerts in your SIEM are, the more

661 00:24:24,700 --> 00:24:25,980 of an indicator you’ll have.

662 00:24:26,440 --> 00:24:28,780 And that’s why that brought me to the conclusion

663 00:24:28,780 --> 00:24:30,500 of why I wanted to build that system

664 00:24:30,500 --> 00:24:31,820 that complements a SIEM.

665 00:24:32,300 --> 00:24:34,460 So I built this after

666 00:24:34,460 --> 00:24:36,580 doing consulting and working on projects and I still

667 00:24:36,580 --> 00:24:38,420 do a lot of consulting and projects because I think

668 00:24:38,420 --> 00:24:40,200 if you’re not in the field and you’re not

669 00:24:40,200 --> 00:24:42,540 experiencing this, any product that you create

670 00:24:42,540 --> 00:24:44,200 will be just unrealistic.

671 00:24:44,200 --> 00:24:46,100 It won’t be close enough to the market.

672 00:24:46,100 --> 00:24:48,120 And I think that’s an approach that I would hope

673 00:24:48,120 --> 00:24:50,360 a lot of startups that maybe listen to this

674 00:24:50,360 --> 00:24:51,160 would think about.

675 00:24:51,160 --> 00:24:54,240 You know, it’s not good enough to have some

676 00:24:54,240 --> 00:24:59,320 marketing stuff create a field and then that field

677 00:24:59,320 --> 00:25:01,880 will give you a product that you have to develop.

678 00:25:01,880 --> 00:25:03,380 You need to start on the ground first.

679 00:25:03,380 --> 00:25:05,580 You have to go through all the pain first

680 00:25:05,580 --> 00:25:07,440 and then you’ll understand why an analyst wants

681 00:25:07,440 --> 00:25:09,140 this or wants this or wants that.

682 00:25:09,140 --> 00:25:10,200 You know I started off with risk and

683 00:25:10,200 --> 00:25:12,320 intelligence but then I talked to one of my

684 00:25:12,320 --> 00:25:13,860 customers like, hey, you know Mike, it would be

685 00:25:13,860 --> 00:25:16,400 fantastic if you had the CBEs in there.

686 00:25:16,400 --> 00:25:18,660 It would be fantastic if you had trending, you know.

687 00:25:18,660 --> 00:25:20,360 So I built trending into the product.

688 00:25:20,360 --> 00:25:23,200 I got the CBEs and you can see this stuff, you know.

689 00:25:23,200 --> 00:25:24,820 And they’re like, oh well, what about, you know,

690 00:25:24,820 --> 00:25:26,820 visualizing the data that you already have?

691 00:25:26,820 --> 00:25:28,360 And I’m like, okay, well I’ve got the CNC’s,

692 00:25:28,360 --> 00:25:31,020 I’ve got VPN’s, I’ve got the TOR network,

693 00:25:31,020 --> 00:25:34,660 I’ve got about 500,000 IPs that I can track.

694 00:25:34,660 --> 00:25:36,860 And then I’ll track that against the tax that I see

695 00:25:36,860 --> 00:25:38,340 and see if there’s any correlation.

696 00:25:38,340 --> 00:25:40,200 And you know, lo and behold, you know, I’ve got the

697 00:25:40,200 --> 00:25:41,040 CBEs.

698 00:25:41,040 --> 00:25:42,000 You start seeing these correlations.

699 00:25:42,000 --> 00:25:44,700 You’re like, hmm, you know, maybe this isn’t as random

700 00:25:44,700 --> 00:25:45,780 as I thought it was.

701 00:25:45,780 --> 00:25:46,620 You know.

702 00:25:46,620 --> 00:25:47,520 Yeah, that’s really interesting.

703 00:25:47,520 --> 00:25:49,160 Really, really interesting.

704 00:25:49,160 --> 00:25:52,200 And I can see that’s actually, that gives something

705 00:25:52,200 --> 00:25:53,240 back to the client.

706 00:25:53,240 --> 00:25:54,080 Yeah.

707 00:25:54,080 --> 00:25:55,980 Yeah, that’s a good approach.

708 00:25:55,980 --> 00:25:58,940 Because yeah, the company I represent, we’re kinda

709 00:25:58,940 --> 00:26:01,900 against the whole thing with the CM and SOC.

710 00:26:01,900 --> 00:26:05,400 It’s like, yeah, you need to actually be quite good

711 00:26:05,400 --> 00:26:06,240 at what you do.

712 00:26:06,240 --> 00:26:07,080 Yeah.

713 00:26:07,080 --> 00:26:07,900 And you need to have, yeah.

714 00:26:07,900 --> 00:26:10,080 So this sort of limits that because you actually,

715 00:26:10,080 --> 00:26:15,680 Du har förstås gjort mycket bra i ditt produkt, men du har faktiskt byggt ut det som är riktigt.

716 00:26:15,680 --> 00:26:16,920 Det är faktiskt ute där.

717 00:26:17,460 --> 00:26:19,940 Så det är en riktigt fin sak, tror jag.

718 00:26:20,080 --> 00:26:22,920 Det är superintressant och en helt annorlunda uppgång.

719 00:26:23,140 --> 00:26:27,120 Ja, och det är också byggt från perspektivet av en analys och en forensikskan.

720 00:26:27,120 --> 00:26:32,660 Så om du börjar diga in i vissa detaljer, så gör du vissa saker väldigt lätt att komma till.

721 00:26:33,140 --> 00:26:37,100 Och sen efter att du har fått den första subsetsen av information, så kan du använda tillgängliga verktyg.

722 00:26:37,360 --> 00:26:39,520 Som till exempel open source, så har jag open BAS byggt in i det.

723 00:26:39,520 --> 00:26:44,980 Så om du vill ta en titt på en IP, så pluggar du in den och då kan du göra din egen vulnerabilitetsassessning.

724 00:26:45,360 --> 00:26:48,820 Om jag gör en vulnerabilitetsassessning, så kan jag redan ha CVEs.

725 00:26:48,880 --> 00:26:51,980 Varför inte tracka det och visa trendanalysen för det också?

726 00:26:52,420 --> 00:26:56,440 Och det måste inte vara ett system som du betalar 300-400 000 euro per år för.

727 00:26:56,440 --> 00:26:57,460 Det är inte BAS.

728 00:26:57,780 --> 00:27:01,140 Det märkliga är att om du faktiskt tittar på alla de här…

729 00:27:01,140 --> 00:27:05,440 Nu är jag i djupvård, för en del industrigörelser kommer att äta mig.

730 00:27:05,600 --> 00:27:09,440 Men om du öppnar huvudet, Gud förbättra, så är du tillgänglig.

731 00:27:09,520 --> 00:27:13,840 Om du är tillgänglig att öppna huvudet, så är det ingenting att visa för.

732 00:27:13,840 --> 00:27:18,200 Det finns en Splunk-installation, det kan vara Snort, det kan vara Pulpwork över Snort.

733 00:27:18,200 --> 00:27:23,200 Det kan vara någon man-made integration.

734 00:27:23,200 --> 00:27:26,200 Men det är nästan alltid open source.

735 00:27:26,200 --> 00:27:29,200 99% av tiden är det open source.

736 00:27:29,200 --> 00:27:34,200 Ja, och sen lägger de något skrämmande över det och nu är det preparatoriskt och det är så fucking fantastiskt.

737 00:27:34,200 --> 00:27:37,200 Det går till 11, som jag berättade om.

738 00:27:37,200 --> 00:27:39,200 Jag gillar det schema som du är ärlig med.

739 00:27:39,520 --> 00:27:41,520 Det här är open source-baserat.

740 00:27:41,520 --> 00:27:45,520 Det vi tar till vårt ställe är vårt know-how som vi delar.

741 00:27:45,520 --> 00:27:48,520 Det är det jag säljer.

742 00:27:48,520 --> 00:27:50,520 Jag tror att det är…

743 00:27:50,520 --> 00:27:53,520 För du bidrar till hela.

744 00:27:53,520 --> 00:27:55,520 Det är inte som att du…

745 00:27:55,520 --> 00:27:59,520 Du gör pengar, förstås, men det är inte ens behov av att göra pengar.

746 00:27:59,520 --> 00:28:02,520 Jag vill göra mer pengar så att jag kan betala för fler av kostnaderna.

747 00:28:02,520 --> 00:28:04,520 Ja, förstås.

748 00:28:04,520 --> 00:28:07,520 Men det är en bra stand-point.

749 00:28:07,520 --> 00:28:09,520 Jag skulle känna det bra att sälja pengar.

750 00:28:09,520 --> 00:28:12,520 Ja, och det är intressant att du säger det.

751 00:28:12,520 --> 00:28:16,520 Jag har också byggt en version av min egen firewall.

752 00:28:16,520 --> 00:28:17,520 Jag började med det också.

753 00:28:17,520 --> 00:28:22,520 Jag ville bygga sensorer som var baserade på open source med lite av mitt eget stöd på toppen.

754 00:28:22,520 --> 00:28:24,520 Som jag trodde skulle göra mer sens.

755 00:28:24,520 --> 00:28:29,520 Jag började med en derivative av PFSense.

756 00:28:29,520 --> 00:28:34,520 Och sen skapade jag boxar där jag sa att det inte kostar mer än runt 600 euro.

757 00:28:34,520 --> 00:28:36,520 Så fyra portar.

758 00:28:36,520 --> 00:28:38,520 8 eller 16 GB RAM.

759 00:28:38,520 --> 00:28:40,520 Med en SSD.

760 00:28:40,520 --> 00:28:42,520 Och så började jag spela med det.

761 00:28:42,520 --> 00:28:46,520 För att se om det finns ett bättre sätt att arbeta med allt det här som är så kallt.

762 00:28:46,520 --> 00:28:48,520 Som en liten och medel affärerar.

763 00:28:48,520 --> 00:28:50,520 Och det var det andra.

764 00:28:50,520 --> 00:28:54,520 Jag tyckte att det måste finnas ett sätt att bygga en riskintelligent system.

765 00:28:54,520 --> 00:28:56,520 Som folk faktiskt kan uppnå att betala för.

766 00:28:56,520 --> 00:28:57,520 Jag stämmer.

767 00:28:57,520 --> 00:28:59,520 Och nu använder jag PFSense också.

768 00:28:59,520 --> 00:29:01,520 För min egen firewall.

769 00:29:01,520 --> 00:29:03,520 Och jag gör mycket utveckling där också.

770 00:29:03,520 --> 00:29:06,520 Och jag har gjort mycket OpenGL grafiken.

771 00:29:06,520 --> 00:29:09,520 Med aktiva PFSense-loggar.

772 00:29:09,520 --> 00:29:10,520 Det är superfint.

773 00:29:10,520 --> 00:29:11,520 Super…

774 00:29:11,520 --> 00:29:12,520 Super…

775 00:29:12,520 --> 00:29:13,520 Ja, överingenjörerat.

776 00:29:13,520 --> 00:29:14,520 Men det är coolt.

777 00:29:14,520 --> 00:29:15,520 Det är flygande saker överallt.

778 00:29:15,520 --> 00:29:17,520 Men det är som…

779 00:29:17,520 --> 00:29:22,520 Idag kan vi faktiskt som konsumer och prosumer.

780 00:29:22,520 --> 00:29:26,520 Börja ganska bra hardware för inte så mycket pengar.

781 00:29:26,520 --> 00:29:29,520 Och sen bara implementera en PFSense-implementering i det.

782 00:29:29,520 --> 00:29:35,520 Och vi har en väldigt respektfull del av hardware som kan göra en riktig trafikanalys.

783 00:29:35,520 --> 00:29:39,520 Och nu, som du nämnde, med PCI Express eller SSD-portar.

784 00:29:39,520 --> 00:29:43,520 Vi har faktiskt bandwidth på det verkliga dispositivet.

785 00:29:43,520 --> 00:29:45,520 För att göra många analyser där.

786 00:29:45,520 --> 00:29:49,520 Och inte behöva pipa det över till något annat.

787 00:29:49,520 --> 00:29:53,520 Ja, med spanportar, om du gör den typen av analyser.

788 00:29:53,520 --> 00:29:55,520 Du behöver ibland filtrerade dispositiv.

789 00:29:55,520 --> 00:29:57,520 Och det beror på trafikgraden.

790 00:29:57,520 --> 00:29:59,520 Ja, men förstås.

791 00:29:59,520 --> 00:30:02,520 Det var några av de intressanta sakerna jag gjorde innan detta.

792 00:30:02,520 --> 00:30:04,520 Eftersom jag jobbade för ett företag som säljde…

793 00:30:05,520 --> 00:30:07,520 application firewalls.

794 00:30:07,520 --> 00:30:09,520 Och det är när du börjar…

795 00:30:09,520 --> 00:30:11,520 Du går in i log-management.

796 00:30:11,520 --> 00:30:13,520 Det är när du får din erfarenhet av vad som fungerar och vad som inte fungerar.

797 00:30:13,520 --> 00:30:17,520 Och när du verkligen arbetar med telekommunikationer, företag och byggsystem.

798 00:30:17,520 --> 00:30:20,520 Du pratar om databaser som får intryck.

799 00:30:20,520 --> 00:30:22,520 Många tusen intryck per sekund.

800 00:30:22,520 --> 00:30:24,520 Och den typen av trafik som du tittar på.

801 00:30:24,520 --> 00:30:27,520 Att försöka pinpointera. Okej, är en SQL-kurs legitimerad eller inte?

802 00:30:27,520 --> 00:30:30,520 När Aaron pratade om databaser.

803 00:30:30,520 --> 00:30:32,520 Jag menar, han pratade från hjärtat.

804 00:30:32,520 --> 00:30:34,520 För det är många av de platser som jag började…

805 00:30:34,520 --> 00:30:37,520 Jag började utveckla planerna för detta.

806 00:30:37,520 --> 00:30:40,520 Och hur kan vi göra det på rätt sätt?

807 00:30:40,520 --> 00:30:42,520 Och jag trodde att det var riktigt coolt.

808 00:30:42,520 --> 00:30:43,520 Ja, fantastiskt.

809 00:30:43,520 --> 00:30:46,520 Jag tror att vi måste avsluta.

810 00:30:46,520 --> 00:30:47,520 En annan sak.

811 00:30:47,520 --> 00:30:49,520 Du är supernäst att vara här.

812 00:30:49,520 --> 00:30:51,520 Nu är det din skämsamma plugg.

813 00:30:51,520 --> 00:30:53,520 Var är de här…

814 00:30:53,520 --> 00:30:54,520 De här tjejerna eller tjejerna…

815 00:30:54,520 --> 00:30:56,520 De här entiteterna som tittar på detta.

816 00:30:56,520 --> 00:30:59,520 Var har de gått för att hitta mer om ditt fantastiska arbete?

817 00:30:59,520 --> 00:31:02,520 Min webbplats är HTPS.

818 00:31:02,520 --> 00:31:03,520 www.https.com

819 00:31:04,520 --> 00:31:08,520 www.haktdevnet.com

820 00:31:08,520 --> 00:31:10,520 Min Twitter-handl är

821 00:31:10,520 --> 00:31:12,520 1D10T1

822 00:31:12,520 --> 00:31:16,520 Och om du vill ha mer information så kontakta mig där.

823 00:31:16,520 --> 00:31:18,520 Det finns kontaktinformation på webbplatsen.

824 00:31:18,520 --> 00:31:21,520 Och ja, inte försöka att attackera den här webbplatsen.

825 00:31:21,520 --> 00:31:22,520 Den är också på plats.

826 00:31:22,520 --> 00:31:23,520 Bra.

827 00:31:23,520 --> 00:31:25,520 Tack så mycket för att du gjorde detta.

828 00:31:25,520 --> 00:31:26,520 Tack så mycket.

829 00:31:26,520 --> 00:31:27,520 Jag uppmärksammar ditt tid.

830 00:31:27,520 --> 00:31:28,520 Tack.

831 00:31:28,520 --> 00:31:29,520 Och ni som lyssnar,

832 00:31:29,520 --> 00:31:32,520 glöm inte att gå till Sechdi’s Youtube-kanal och titta på det.

833 00:31:32,520 --> 00:31:33,520 Det var fantastiskt.

834 00:31:33,520 --> 00:31:34,520 För det var fantastiskt.

835 00:31:34,520 --> 00:31:37,520 Och glöm inte att prenumerera på Sechdi’s Podcast.

836 00:31:37,520 --> 00:31:38,520 Nej, förstås inte.

837 00:31:38,520 --> 00:31:40,520 Men du känner nog till det, eller hur?

838 00:31:40,520 --> 00:31:41,520 Ja.

839 00:31:41,520 --> 00:31:42,520 Tack alla.

840 00:31:42,520 --> 00:31:43,520 Hej då.

841 00:31:43,520 --> 00:31:44,520 Tack.

Updated on 2018-09-26
 guestMichael GoedekerSEC-T
Back | Home