Showing posts with label audit. Show all posts
Showing posts with label audit. Show all posts

Monday, August 3, 2009

Be wary of rating agencies

Ruv Cohen, over at Elastic Vapor, proposed an interesting idea for a Cloud Service Rating Agency. The idea was furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defined as a "Cloud Performance Ability (CPA) that estimates it's ability to meet certain service levels"; similar in intent to Standard & Poor's Claims-Paying Ability rating for an insurance provider explained as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "financial capacity to meet its insurance obligations".

I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of some standard, some metric that allows us all to look at a complex issue and agree what we're looking at, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few problems:

  • Metrics and ratings hide nuance, by design, which may be a relevant factor in your personal evaluation of a provider
  • Every single rating agency has shown cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves vulnerable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of complex artefacts - look at what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of CDO's ushered in and how credit scoring behaved
  • Most rating agencies are for-profit entities, which means that while integrity is a priority in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir branding, it is almost certainly not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topmost priority in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business objectives

(more issues with credit rating agencies can be found on wikipedia)

Now, before you think I pick on rating agencies unfairly, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r public trusts (such as public audit firms) have suffered from conflict of interest problems, that have led to bad decision making (Arthur Andersen's involvement in Enron is a canonical example and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of Sarbanes-Oxley legislation).

So bottom line, if you establish for-profit providing rating services, ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity (intentionally or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise) will come into question.

Experience has also taught us that self-administered assessments - unless exceptionally detailed - are at best somewhat informative, at worst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365atre (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early days of PCI-DSS come to mind).

If we were to build a Cloud Service Rating Agency, what we would really need is an independent, non-profit entity, something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 North American Electric Reliability Corporation (NERC). An entity with claws and a focus on assurance, so while I agree with James Urquhart that data is not electricity, I think it's an interesting industry to draw lessons from.

Some thoughts for addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Assurance component of A6

The A6 API is a security stack designed to provide Audit, Assertion, Assessment, and Assurance capabilities. There's one problem, providing assurance can't be done by machines alone - you need a human element, one that stands up and says "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results are true and good". Outside of wild notions about black box mechanisms and trusted computing, I'm hard pressed to find a technology solution to achieve this. What we really need is human participation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficult part about humans is that we all have our own unique perspective on what is or isn't accurate, what's correct and ultimately how one defines security.

What we need is a standardized way of reporting on complex concepts dealt with in security assessments and audits. If we had a standard security reporting language, we could reduce variation in security reporting and improve interpretability. We can look to financial reporting for an approach.

In financial reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two parts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, one is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assertion and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assurance - one done by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public company and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r done by a public audit company. The public company says, we have X million dollars of this and that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public audit company confirms that it is indeed true.

Ofcourse, we all know that financial reports are subject to manipulation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's always some grey area in what a term means, this is furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compounded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various forms financial reporting is published (human readable for sure, but set in any order and dressed up in many different ways).

To address this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Accounting Standards Board (IASB) issued a standard known as International Financial Reporting Standards (IFRS) which has a taxonomy defining terms and for situations where a term is not defined, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new term can be described from atomic components and concepts within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 taxonomy. There's a standard known as an eXtensible Business Reporting Language (XBRL) which allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clear meaning of financial numbers to be articulated in a way that is both machine readable but also IFRS compliant.

Here's a snippet of XBRL (reporting on Operating Income, Administrative Expenses, Operating Expenses):

38679000000

   35996000000

   870000000

   10430000000

If we had an IT Security Reporting standard similar to XBRL, which requires detailed exposure of information and provided clear definitions of terms, cloud providers could self-issue reports that while open to manipulation, become that much harder to subvert - let's call it eXtensible Security Reporting Language (XSRL). With an XSRL report, we'd all use consistent terms and consistent inputs

The three big challenges with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSRL concept are:

  • It's perfectly fine (in fact expected) for a public company to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir finances, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same cannot be said of security vulnerabilities or perimeter defences (even though I'm a strong believer in Shannon's maxim or Kirchoff's principle, it's important to understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maxim does not advocate broadcasting details, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy will learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge should not make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a more effective attacker).
  • If you lie in a financial statements, you go to jail (usually) - if you lie in a security report (as long you don't breach section 404 of Sarbanes Oxley or equivalent), you'll probably just get your hand slapped (or bad press).
  • Most security experts disagree on some aspect of security - financial reporters have IFRS (International Financial Reporting Standards) - so it would be a lot of work to get people to agree on a canonical definition of what constitutes secure and security.

That said, I still think we should try, it's hard, but it will be worth it - A6 could work without it, but I think we need to need to bring a formalism and maturity to security reporting that doesn't exist now, something akin to what financial auditors have today (Lehman Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like aside).


Sunday, August 2, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully (are we cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re yet?)

I've been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 API for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past week and I'm certain Mrs IronFog is wondering when I might be done (she's graciously been giving up about two hours of quality time each night - something I am immensely appreciative of).

A6 stands for The Audit, Assertion, Assessment, and Assurance API (a term coined by @CSOAndy via Chris Hoff's Rationale Survivability), so I figured I would know if I was done when I could put a check mark next to each aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6 A's (this feels like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of a buffer overflow joke).

So here we go:

  • Audit - Check - we have /ssapi/compliance/
  • Assertion - Check - we have /ssapi/ISO27002/ and /ssapi/environment/
  • Assessment - Check - we have /ssapi/element/xccdf/
  • And - Check (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of completeness)
  • Assurance - sort-of, it's somewhat of an emergent or external property - I'll explain below
  • API - Check - we have /ssapi/

Ok, so 5.0 out of 6 is pretty good, but here's why I think we're complete enough to consider this a first draft. The terms Assertion ad Assurance are financial audit terms:

  • Assertion is a self-issued statement made by one party (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider) to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (end users) about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir state - such as "I have a billion dollars in cash" or "we are secure" - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not validated by anyone else.
  • Assurance is a validated statement, specifically validated by a trusted third party (like an audit firm) reviews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supporting facts behind an assertion and confirms cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are true, have integrity and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct scope (or completeness)

Assertions are easy, anyone can make a statement about anything - that's what our stack does - however, we just have to trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statements are true and good.

For assurance, we have three options:

  • Have some trusted mechanism (black box software in a tamperproof appliance) validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and issue a signed XML blob;
  • Get a third party auditor to validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assertions issued by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and provide a formal sign-off; and
  • Review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information ourselves and see if we can spot inconsistencies (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n call "liar-liar-combusting-pants")

Barring perfectly trustable computing, we cannot provide true Assurance functions through technology alone - we can just make it easier to share what we know in an easily interpretable fashion.

So basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack as it stands, is structurally complete enough for a first draft release (which I'll start packaging up shortly). Ofcourse, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's still specifications, nuances, details and documentation to get done; I know ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things will emerge as I review and cleanup what I've done, but that will be iterative, not net new.



Thursday, July 30, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 4)

(Mrs Iron Fog is awesome - she does my chores for me so I can blog)
(Part 3 is here)
Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previously described /ssapi/register/ an element can push up information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security state. This data is considered private and wouldn't be exposed via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack - aggregated or sanitized versions of it might be, but not in its as is form, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data could result in damaging information leakage.
In this section we start using anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SCAP element, The eXtensible Configuration Checklist Description Format (XCCDF)
  • /ssapi/element/xccdf/results/? - an element can POST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of a configuration check with an XML XCCDF result blob.
  • /ssapi/element/xccdf/results/ - an administrative entity can GET a list of elements that have provided test results.
  • /ssapi/element/xccdf/results/@all - an administrative entity can GET a list of all available test results for all elements (with URI, date and test type).
  • /ssapi/element/xccdf/results/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of recent XCCDF test results, an XML blob is returned with enumerated URI, date and test type.
  • /ssapi/element/xccdf/results/current/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent results from a configuration check. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original element attempts a GET, an error message is returned (prevents information leakage).
  • /ssapi/element/xccdf/results/00000001/? - an administrative entity can GET a specific prior result from a configuration check - exact URI will be provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /ssapi/element/xccdf/results/? query.
  • /ssapi/element/xccdf/results/current/score/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XCCDF standard score from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent configuration check.
  • /ssapi/element/xccdf/results/00000001/score/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XCCDF standard score from a specific prior configuration check
Some additional thoughts:
  • elements should be able to upload security information, but not read it. This prevents a malicious entity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element interrogating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack aggregator for useful information.
  • Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be URI's that are access restricted to all but high privilege users.
  • Again, none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above is published to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world
Next, how to express this information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public stack without giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game away...
(minor typo fixed - July 31, 2009)
(fixed incorrect escaping on non-HTML tags)

Wednesday, July 29, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 3)

(Part 1 and Part 2 are here respectively)
(a bit of a shorter post tonight as I was on nephew duty)
So far, I've been focusing on organization elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, by that I mean things about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, specifically policies and compliance.
We're going to start moving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack space that deals with individual elements, and where we start using bits of SCAP. Before we can start considering individual elements, we need a way to register an element:
  • /ssapi/registration/ - invoked by a POST on an XML payload containing Common Platform Enumeration data, IP address and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unique network identifiers (for example a FQDN - thinking MAC addresses are a problem given network segmentation) returns a UUID and new credentials to be cached by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POSTer. The POSTing element was provided with a limited use credential for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial registration (consider this an aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication boorstrap). If anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r element tries to register cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP address or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unique identifier - note, after having examined CPE, I think my comment earlier this morning about self-asserted URI's into a namespace ("I am 10.45.0.34" & "I am http://www.f5.com/products/...") was slightly off, so I'm changing course a little.
  • /ssapi/registration/ - invoked by an aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated DELETE will unregister cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element. Invoked by an aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated PUT will allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element to update previously provided data including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network identifier, if and only if that identifier hasn't been claimed by anyone else (if it has, an error message is returned).
The registration payload could look like this:
note: I'm being lazy, this is not fully formed XML, pseudo XML at best
A few more thoughts:
  • this is a RESTful API, which implies web servers, but I don't think we want to start running embedded web servers all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place (not a fan of increasing attack surfaces). So most elements in an environment would push information to a purpose built aggregator.
  • Much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that could be returned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack is not for public (or valued customer) consumption. That means part of this stack will be a generalized security information collection and sharing mechanism - I want to avoid repeating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r part, and I think this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important thing we can accomplish, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack provides cloud users with a tool and shared meaning to be confident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud providers security.
  • I haven't said anything about aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack or access restrictions to parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack - I'm thinking OAuth for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and something akin to SNMP's public/private for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access restrictions (keep it simple for now, refine in v2.x).
  • The unique network identifier used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element should be strongly bound to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element, that is we need some way to prevent impersonation of one element by a malicious element - client side x509 certs are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easy answer but impose deployment overhead, will need to think more on this. Once registration is complete, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique network identifier must be bound to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issued credentials and UUID.
  • I've avoided discovery for now, you could use a trusted feed from NMAP to populate some of your data set, but you still need to register cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element for future conversation, although I suppose one feature implementation could be an agentless aggregator that also provides element security state using remote scanning.
Thanks to @lmacvittie for some thoughts on unique identifiers which led to a discussion on auto-discovery and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r goodness - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad news is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security stack has a lot more work to be put in, so maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel won't get his Friday wish, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goods news is Monday is a public holiday, so lots of thinking time this long weekend.
more to follow...
note: made some minor changes post a reread - removed incorrect reference to shared secret and revised URI to include UUID.

Tuesday, July 28, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 2)

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uber-Squirrel demanded I be done by TGIF...
part one is here; background detail is here.
This section deals with expressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual policies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider organization, obviously a complex information set to represent, so this will require a lot more detail and thinking. I think it's best that we use ISO27002 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version of ISO17799) given that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root standard from which all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compliance standards are derived; additionally
  • /ssapi/ISO27002/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/ISO27002/@all - returns an XML payload with values and freshness for all descendants
The following list enumerates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eleven clauses:
  • /ssapi/ISO27002/1/ - Security Policy
  • /ssapi/ISO27002/2/ - Organizing Information Security
  • /ssapi/ISO27002/3/ - Asset Management
  • /ssapi/ISO27002/4/ - Human Resources Security
  • /ssapi/ISO27002/5/ - Physical and Environmental Security
  • /ssapi/ISO27002/6/ - Communications and Operations Management
  • /ssapi/ISO27002/7/ - Access Control
  • /ssapi/ISO27002/8/ - Information Systems Acquisition, Development and Maintenance
  • /ssapi/ISO27002/9/ - Information Security Incident Management
  • /ssapi/ISO27002/10/ - Business Continuity Management
  • /ssapi/ISO27002/11/ - Compliance
One can iterate through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider's policies and security behaviours as follows:
  • /ssapi/ISO27002/1/ - returns a list of available security categories for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clause, immediate descendants only
  • /ssapi/ISO27002/1/1/ - returns a list of available controls within a given category
  • /ssapi/ISO27002/1/1/1/ - returns a list of available control statements
  • /ssapi/ISO27002/1/1/1/@all - returns an XML payload with values and freshness for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control set
  • /ssapi/ISO27002/2/@all - returns an XML payload with values and freshness for all descendants of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clause
An XML fragment from /ssapi/ISO27002/1/1/1/@all might look like this:
"We are compliant because of..." implemented
"xyz cloud corp uses a multi-tiered approach to..."
http://www.xyz.com/policies/policy1.pdf
http://www.xyz.com/policies/policy2.pdf
Some additional thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API (or A6):
  • this API should be a generic interface for exposing both technical and organizational security information
  • cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API is a standardized framework for exposing information and while it won't replace existing approaches, it will ease users ability to ask for that information and get an answer that matches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expectations
  • vendors will populate data to different parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, vendors that can't respond to certain parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API (for example, a Cisco ASA firewall can't opine on your policy for asset management) shouldn't be considered non-compliant
  • cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re exists a need for an aggregator entity that collects stack information from distributed elements (maybe a firewall here, an IPS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, a compliance system somewhere else)
  • cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack should not explicitly disclose information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of system (at least not to guests in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unwashed masses), that's pointedly unsafe. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack may unintentionally leak information that could be useful to an attacker. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack should never say - "I'm not patched against CVE-2012-435", but it may say "my patching policy is within 4 hours", which tells an attacker cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir window of opportunity - we'll have to think about this topic a lot more.
more to come tomorrow...

Sunday, July 26, 2009

Can we API more than vulnerability scans and change management?

I thought a bit more about Chris Hoff's idea of using something like SCAP to provide a Security Stack API (to be honest, at first pass I thought he was only talking about vulnerability scanning, but it's quite clearly more than that)
At last week's local CloudCamp, Glen Brunette lead a session at which we talked about security for IaaS (Infrastructure as a Service) providers. Initially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session started with validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro-kernel/hypervisor - eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r through review, placing it in hardware or providing some sort of integrity metric - but from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re we evolved to something a little more useful.
Regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique, attesting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor, providing proof that hypervisor is secure, doesn't mean much in isolation. The hypervisor can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of Fort Knox and it won't be secure if I can grab a disk from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storage network, clone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual machine or walk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server it was running on out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door.
So, we need more than a way to expose security state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual environment. What you really need is a way to attest on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security processes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire organization.
In fact, I think I really don't want my cloud provider to tell anyone how patched or unpatched his platform is. What I want him to tell me is how compliant he is with his published security processes (and what his processes are). Processes like user account lifecycle management, logging, auditing, incident response, physical security and take your pick from your favourite ISO27001 derived compliance standard.
I reread Chris Hoff's article on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security stack (love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram), but some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r readers are bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring me - one concentrates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical matters and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r again focuses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "brain in a jar" problem. A lying API is possible but has a number of issues (audience, cost and risk) that mean you're eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical aspects of security assessments (only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture) or aren't willing to settle for anything less that a personal audit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 providers entire operation, which is anticá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tical to what cloud users want.
Ultimately for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 die hard security professionals, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll have to give up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to know 100% for sure about security - your business gave up that right when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decided to save money by heading into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud (part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reduce activities in changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value curve). There is no perfect and cost-effective method for you to determine that you haven't been tricked, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API's will give you more transparency (into what is racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opaque right now), but eventually you're going to have to make a reasonable decision to trust and live with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of a lie.
Why not? You do it already with your software vendors today.
note: While I think this API would provide results on demand, I don't think it should be expected to deliver real-time results - you can't put sensors on everything. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session at CloudCamp we got to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for periodic audits of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 providers security processes and that periodic should probably be monthly. If this sounds unreasonable, keep in mind Certificate Authorities can have weekly assessments (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y rotate through all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major security domains, with full scale audits happening less frequently). I think major cloud providers are becoming as important as certificate authorities are. Ultimately it's up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider to decide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency, it's just that we should expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freshness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit findings.