Anomaly detection != threat detection.

by qimono from Pixabay

Anyone familiar with threat detection in security operations has likely heard a familiar explanation. It always goes something like, “profile normal behavior, then detect anomalies.” The process involves generating data from several different sensors within your environment and using that data to define some kind of baseline threshold. You can then generate alerts based on any sensor data which falls out of that specific threshold. This is all a bit abstract — let us dive in a bit further.

Those familiar with machine learning will know the terms supervised and unsupervised learning. Usually people associate unsupervised learning with anomaly detection…


by JillWellington from Pixabay

If you’re like me, you may be wondering how to shoot down some good ideas. There are too many of them. People keep saying “innovation” and “disruption.” It’s exhausting. How can we easily stop these ideas and keep them from growing? We need to make sure that nobody with decision making authority hears these ideas because then we might be forced to implement them. Then the good idea fairy will get all of the credit.

Fortunately for us, it’s pretty easy. We have inertia on our side. In fact, it’s a lot easier to shoot down a good idea than…


by 3844328 from Pixabay

Detect and block malware with known hashes. Block malicious IP addresses and host names. Create signatures for network packets or sessions. Set policies about allowed and blocked activities such as plugging in USB drives. Have we secured the network yet?

Many security operators have applied a traditional controls-oriented mindset to their strategies. They implement firewall and endpoint rules as safeguards and create company policies to block or detect practices dangerous to security. Every piece of data generated either immediately generates some sort of blocking action, or it might generate an alert for an analyst. That analyst will then determine if…


by Pexels on Pixabay

In 2011, Rohan Amin and two of his colleagues at Lockheed Martin released a paper on the intrusion kill chain. Today, he is the Chief Information Officer for JP Morgan Chase, but this accomplishment pales in comparison with the impact of the intrusion kill chain. The kill chain, now often called the “cyber kill chain” propagated into every cyber professional’s toolkit and morphed into the famous, widely used MITRE ATT&CK Matrix. The idea is intuitive, but clever. An attacker needs to chain together a series of actions in order to successfully execute an attack on your network. …


by mohamed_hasan on Pixabay

You’ve finally done it. You studied security analytics for years, got smart on network and endpoint data, implemented amazing analytics, and even managed to toss in some machine learning onto your stack. Your company conducts a penetration test, and your solution detects all of the campaigns! There are several false negatives and duplicate incidents, but the amount of alerts generated falls under a manageable threshold. You push your security analytics to production. You decide to celebrate your success, but you know that security is never done. …


by geralt on Pixabay

The question “should a CISO be technical?” continues to pop up, and I wanted to weigh in. This question, for me, is highly personal as I have blazed my own trail with cyber security management and technical acumen over the last four years. I will rely solely on my personal experience as circumstantial evidence to add to the discussion, but other experiences will also help us determine the best pathway for cyber security professionals.

The Question. Many are asking, “should a CISO be technical?” The question is overly simple, so the best answers are highly nuanced. In my mind, the…


Photo by qimono on Pixabay

Компроміс розповсюдженого програмного забезпечення SolarWinds змушує всіх замислитися більш про кібербезпеку. Це добре — компанії недостатньо думають про кібербезпеку. Вони мають свої щоденні справи, та кібербезпека здається нереальною загрозою. Цей компроміс, однак, має такий ж ефект як авіакатастрофа — люди гадають про драматичні ризики більш ніж гадають про ймовірні. У 2020 році, більш мільйона людей загинуло в автокатастрофах, та менше чотирьохсот загинуло в авіакатастрофах. Авіакатастрофи ж, як компроміс SolarWinds, були в новинах, тому ця проблема отримує увагу.

Найчастіший метод кібератаки

Хакери доставили шкідливе програмне забезпечення через оновлення SolarWinds. Якщо ви маєте програмне забезпечення, через новини SolarWinds ви побоювалися б таких…


Photo by qimono on Pixabay

Everyone in the cyber security industry is rushing to get their hands on the requisite artificial intelligence and machine learning required to get ahead of their attackers. While many cybersecurity companies certainly only employ AI/ML in bouts of buzzword salesmanship, most cyber security professionals do feel that AI/ML has its place in the security world.

The foundational problem in ML or any data analytics for that matter is classification. Security operations centers are constantly solving a set of classification issues. Given some set of input data, security analysts initially must determine if activity is malicious or non-malicious. This first issue…


Відкритий і замкнений цикли керування

Чи роботи колись у майбутньому будуть панувати світом? Одна з найпопулярніших тем наукової фантастики є якийсь конфлікт між людством та машинами. Може, ти чув про те, як штучний інтелект наближає нас до апокаліпсису. Інтелект, правда, важлива риса цих роботів, але це не ціла історія. Ми, люди, могли б займатися війною тільки з інтелектом? Ні — наші фізичні здібності були б потрібні теж. Ми можемо розуміти цілу проблему через теорію керування.

Теорія керування


Всі говорять про те, як штучний інтелект буде знаходити всі кіберінциденти й посувати пов’язані проблеми. Поки що ми не в такому світі, й люди-оператори повинні шукати кіберінциденти й зрозуміти джерела проблем. Ці оператори виконують три етапи в життєвому циклі кіберінциденту.

Перший — Відкриття

Відкриття розслідування інциденту, особливо для безпечної системи, найскладніший етап. Оператори й кіберінструменти отримують дані від кількох логів. Операції комп’ютерних систем змінюються щодня. Тому не можна припустити, що вся дивна діяльність — це погана діяльність. Оператори повинні уникати втому від попереджень (коли є більш розслідування ніж час, щоб закрити їх).

Кіберінструмент може автоматично відкрити розслідування інциденту, або оператори…

Wesley Belleman

I write about computer science, computer security, and cyber policy.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store