Isn&#39;t this what Phantom and other &quot;security orchestration&quot; companies are pushing right now? <br><br>The biggest roadblock is that every traditional security vendor is trying to be the &quot;data hub&quot;, hoarding information. Badly constructed and horribly documented APIs, stupid myopic dashboards, rate limiting on APIs, etc. etc. are the trademarks of those data hoarders. I wonder how long it takes before they realize they&#39;re contributing more by becoming data providers. Hell, every RFP for security products should score their ability to provide data.<br><br>Cheers,<br>Wim<br><div class="gmail_quote"><div dir="ltr">On Wed, 15 Feb 2017 at 19:51, Jordan Wiens &lt;<a href="mailto:jordan@psifertex.com">jordan@psifertex.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg">When I last played defender over a decade ago at a large university, we built what sounds like exactly the same sort of system. It was an ugly mess of perl and it worked fantastically. The rules were crude and didn&#39;t have nearly the visibility into the network (partially because the host inspection technologies didn&#39;t exist and partially because as a university security engineering you often don&#39;t have permission to touch most of the endpoints on your network), but we were wiring up the more reliable IDS signatures, DNS queries, and flow data indicators to:<div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">- our campus captive portal to de-auth</div><div class="gmail_msg">- automatic emails to users and network administrators with specific remediation information</div><div class="gmail_msg">- blackhole routes for managed machines until the local admin self-certified the host was cleaned</div><div class="gmail_msg">- or in some cases, disable the user&#39;s login for repeat offenders of non-university machines until they visited the helpdesk to get cleaned</div><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">At the time the signatures that were effective were mostly super dumb. Stuff like visiting known IRC C&amp;C servers and channels, but it worked. It required manual effort to constantly tune actions and inputs, but it was a heck of a lot easier than trying to fight that flood by hand. <div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">It sounds like the specific actions and data ingests might be different, but the idea of rolling your own automated system hasn&#39;t changed a bit in ten years. Surprised to not hear more about the approach, but agree completely that no one vendor does it, and yet every vendor can easily be a part of it. </div></div><div class="gmail_msg"><br class="gmail_msg"></div></div><div class="gmail_extra gmail_msg"><br class="gmail_msg"><div class="gmail_quote gmail_msg">On Wed, Feb 15, 2017 at 10:59 AM, Dave Aitel <span dir="ltr" class="gmail_msg">&lt;<a href="mailto:dave.aitel@gmail.com" class="gmail_msg" target="_blank">dave.aitel@gmail.com</a>&gt;</span> wrote:<br class="gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"><a href="http://www.securityweek.com/crowdstrike-sues-nss-labs-prevent-publication-test-results" class="gmail_msg" target="_blank">http://www.securityweek.com/crowdstrike-sues-nss-labs-prevent-publication-test-results</a><br class="gmail_msg"><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg"><img alt="fRPrLXf.jpg" style="max-width:100%;opacity:1" class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">One thing I&#39;ve had problems with is learning that people can &quot;get gud&quot;. It&#39;s one of the reasons I always cringe at the inevitable policy trope of &quot;Cyber war is easier for attackers than defenders. Yesterday I was talking to a professional CISO - one of the ones I&#39;ve known for years out of the NYC scene. He&#39;s like &quot;Yes, individually none of the stuff anyone sells you works at all. But once you connect, say, Bromium, to the BlueCoat API with a bit of analysis glue you can have five minute response metrics, where once you find any anomaly, you can do memory searches for that running anywhere in your org, then automatically stuff those machines on their own VLANS.</div><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">&quot;When I join a new org, whatever random vendors they&#39;ve bought into, I can make that really work. It does&#39;t really matter what they have, as long as they have something.&quot;</div><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">Automated response has always been the real market. I can see people actually DOING it now, even though no product vendor wants to talk about it. And it&#39;s one of the few things that actually scares me as an attacker.</div><span class="m_6779682256607258671HOEnZb gmail_msg"><font color="#888888" class="gmail_msg"><div class="gmail_msg"><br class="gmail_msg"></div><div class="gmail_msg">-dave</div><div class="gmail_msg"><br class="gmail_msg"></div></font></span></div>
<br class="gmail_msg">_______________________________________________<br class="gmail_msg">
Dailydave mailing list<br class="gmail_msg">
<a href="mailto:Dailydave@lists.immunityinc.com" class="gmail_msg" target="_blank">Dailydave@lists.immunityinc.com</a><br class="gmail_msg">
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br class="gmail_msg">
<br class="gmail_msg"></blockquote></div><br class="gmail_msg"></div>
_______________________________________________<br class="gmail_msg">
Dailydave mailing list<br class="gmail_msg">
<a href="mailto:Dailydave@lists.immunityinc.com" class="gmail_msg" target="_blank">Dailydave@lists.immunityinc.com</a><br class="gmail_msg">
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br class="gmail_msg">
</blockquote></div>