<div dir="ltr"><a href="http://www.defenseone.com/technology/2016/01/us-homeland-securitys-6b-firewall-has-more-few-frightening-blind-spots/125528/">http://www.defenseone.com/technology/2016/01/us-homeland-securitys-6b-firewall-has-more-few-frightening-blind-spots/125528/</a><br><div><br></div><div>Let me quote from this weirdly wrong article here:</div><div><span class="caps" style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">&quot;EINSTEIN</span><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"> relies on patterns of attacks, called signatures, to spot suspicious traffic, but it </span><a href="http://www.gao.gov/assets/680/674829.pdf" style="text-decoration:none;color:rgb(179,150,2);font-weight:bold;font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px;background-image:initial;background-position:initial;background-repeat:initial">does not scan for 94 percent of commonly known vulnerabilities or check web traffic for malicious content</a><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">.&quot;</span><br></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"><br></span></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">I wanted to correct some craziness I saw in DefenseOne this morning. Apparently it is quite difficult to figure out what EINSTEIN is for, and the technology is complex, so I&#39;m going to clarify matters PURELY AS AN OUTSIDER. </span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px"><br></span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">To sum up the article, for people who don&#39;t want to read it: Someone is complaining that the EINSTEIN system does not function as a giant perfect Intrusion Prevention System (IPS) for the whole Government! Keep in mind, we already know AV, IPS and IDS and related technologies VERY MUCH DON&#39;T WORK AT SCALE!</span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px"><br></span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">First of all: There is not enough memory in the world to hold the state machines you would need to track all the TCP connections going to all the Government networks in the world. The developers of EINSTEIN are </span><i style="font-size:16px;line-height:24px">not stupid</i><span style="font-size:16px;line-height:24px"> enough to think they&#39;re going to build a big Palo Alto box. Nor do they want to be in the business of writing thousands of IPS signatures, all of which are probably a giant waste of time.</span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px"><br></span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">Instead, EINSTEIN allows the Government to do analysis across individual intrusions, detecting where attackers go when they laterally move from, say, OPM, to the State Department.</span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px"><br></span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">Just to sum it up:</span></font></div><div><span class="dquo" style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">“</span><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">Regarding zero day exploits,” Homeland Security officials stated “there is no way to identify them until they are announced,” the report states. Once they are disclosed, </span><span class="caps" style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">DHS </span><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">can mold a signature to the attack pattern and feed it into </span><span class="caps" style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">EINSTEIN</span><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">.</span><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px"><br></span></font></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"><br></span></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">If you tie that to the feed obviously coming from the NSA, you have something very very useful. Much more useful than an IPS would be. It is about situational awareness and response, not protection. It still needs testing, but of a very different sort.</span></font></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"><br></span></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px">-dave</span></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"><br></span></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px"><br></span></font></div><div><font color="#1c1c1c" face="Helvetica, Arial, sans-serif"><span style="font-size:16px;line-height:24px">  </span></font></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"><br></span></div><div><span style="color:rgb(28,28,28);font-family:Helvetica,Arial,sans-serif;font-size:16px;line-height:24px"><br></span></div></div>