Showing posts with label compliance. Show all posts
Showing posts with label compliance. Show all posts

Tuesday, August 18, 2009

XSRL Compliance drafted

Just finished draft 0.1 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSRL-compliance schema, a sub-namespace of XSRL (eXtensible Security Reporting Language).

The draft schema looks like this:

XSRLCompliance_0.1_schema

The draft XSD file is located on Box.net.

Auto-generated schema documentation is up on scribd.

XSRLCompliance_0.1

An updated version of XSRL-Policy has also been uploaded.

Monday, August 3, 2009

Be wary of rating agencies

Ruv Cohen, over at Elastic Vapor, proposed an interesting idea for a Cloud Service Rating Agency. The idea was furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defined as a "Cloud Performance Ability (CPA) that estimates it's ability to meet certain service levels"; similar in intent to Standard & Poor's Claims-Paying Ability rating for an insurance provider explained as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "financial capacity to meet its insurance obligations".

I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of some standard, some metric that allows us all to look at a complex issue and agree what we're looking at, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few problems:

  • Metrics and ratings hide nuance, by design, which may be a relevant factor in your personal evaluation of a provider
  • Every single rating agency has shown cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves vulnerable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of complex artefacts - look at what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of CDO's ushered in and how credit scoring behaved
  • Most rating agencies are for-profit entities, which means that while integrity is a priority in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir branding, it is almost certainly not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topmost priority in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business objectives

(more issues with credit rating agencies can be found on wikipedia)

Now, before you think I pick on rating agencies unfairly, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r public trusts (such as public audit firms) have suffered from conflict of interest problems, that have led to bad decision making (Arthur Andersen's involvement in Enron is a canonical example and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of Sarbanes-Oxley legislation).

So bottom line, if you establish for-profit providing rating services, ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity (intentionally or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise) will come into question.

Experience has also taught us that self-administered assessments - unless exceptionally detailed - are at best somewhat informative, at worst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365atre (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early days of PCI-DSS come to mind).

If we were to build a Cloud Service Rating Agency, what we would really need is an independent, non-profit entity, something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 North American Electric Reliability Corporation (NERC). An entity with claws and a focus on assurance, so while I agree with James Urquhart that data is not electricity, I think it's an interesting industry to draw lessons from.

Some thoughts for addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Assurance component of A6

The A6 API is a security stack designed to provide Audit, Assertion, Assessment, and Assurance capabilities. There's one problem, providing assurance can't be done by machines alone - you need a human element, one that stands up and says "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results are true and good". Outside of wild notions about black box mechanisms and trusted computing, I'm hard pressed to find a technology solution to achieve this. What we really need is human participation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficult part about humans is that we all have our own unique perspective on what is or isn't accurate, what's correct and ultimately how one defines security.

What we need is a standardized way of reporting on complex concepts dealt with in security assessments and audits. If we had a standard security reporting language, we could reduce variation in security reporting and improve interpretability. We can look to financial reporting for an approach.

In financial reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two parts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, one is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assertion and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assurance - one done by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public company and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r done by a public audit company. The public company says, we have X million dollars of this and that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public audit company confirms that it is indeed true.

Ofcourse, we all know that financial reports are subject to manipulation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's always some grey area in what a term means, this is furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compounded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various forms financial reporting is published (human readable for sure, but set in any order and dressed up in many different ways).

To address this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Accounting Standards Board (IASB) issued a standard known as International Financial Reporting Standards (IFRS) which has a taxonomy defining terms and for situations where a term is not defined, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new term can be described from atomic components and concepts within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 taxonomy. There's a standard known as an eXtensible Business Reporting Language (XBRL) which allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clear meaning of financial numbers to be articulated in a way that is both machine readable but also IFRS compliant.

Here's a snippet of XBRL (reporting on Operating Income, Administrative Expenses, Operating Expenses):

38679000000

   35996000000

   870000000

   10430000000

If we had an IT Security Reporting standard similar to XBRL, which requires detailed exposure of information and provided clear definitions of terms, cloud providers could self-issue reports that while open to manipulation, become that much harder to subvert - let's call it eXtensible Security Reporting Language (XSRL). With an XSRL report, we'd all use consistent terms and consistent inputs

The three big challenges with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XSRL concept are:

  • It's perfectly fine (in fact expected) for a public company to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir finances, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same cannot be said of security vulnerabilities or perimeter defences (even though I'm a strong believer in Shannon's maxim or Kirchoff's principle, it's important to understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maxim does not advocate broadcasting details, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy will learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge should not make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a more effective attacker).
  • If you lie in a financial statements, you go to jail (usually) - if you lie in a security report (as long you don't breach section 404 of Sarbanes Oxley or equivalent), you'll probably just get your hand slapped (or bad press).
  • Most security experts disagree on some aspect of security - financial reporters have IFRS (International Financial Reporting Standards) - so it would be a lot of work to get people to agree on a canonical definition of what constitutes secure and security.

That said, I still think we should try, it's hard, but it will be worth it - A6 could work without it, but I think we need to need to bring a formalism and maturity to security reporting that doesn't exist now, something akin to what financial auditors have today (Lehman Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like aside).


Sunday, August 2, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully (are we cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re yet?)

I've been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 API for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past week and I'm certain Mrs IronFog is wondering when I might be done (she's graciously been giving up about two hours of quality time each night - something I am immensely appreciative of).

A6 stands for The Audit, Assertion, Assessment, and Assurance API (a term coined by @CSOAndy via Chris Hoff's Rationale Survivability), so I figured I would know if I was done when I could put a check mark next to each aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6 A's (this feels like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of a buffer overflow joke).

So here we go:

  • Audit - Check - we have /ssapi/compliance/
  • Assertion - Check - we have /ssapi/ISO27002/ and /ssapi/environment/
  • Assessment - Check - we have /ssapi/element/xccdf/
  • And - Check (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of completeness)
  • Assurance - sort-of, it's somewhat of an emergent or external property - I'll explain below
  • API - Check - we have /ssapi/

Ok, so 5.0 out of 6 is pretty good, but here's why I think we're complete enough to consider this a first draft. The terms Assertion ad Assurance are financial audit terms:

  • Assertion is a self-issued statement made by one party (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider) to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (end users) about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir state - such as "I have a billion dollars in cash" or "we are secure" - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not validated by anyone else.
  • Assurance is a validated statement, specifically validated by a trusted third party (like an audit firm) reviews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supporting facts behind an assertion and confirms cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are true, have integrity and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct scope (or completeness)

Assertions are easy, anyone can make a statement about anything - that's what our stack does - however, we just have to trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statements are true and good.

For assurance, we have three options:

  • Have some trusted mechanism (black box software in a tamperproof appliance) validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and issue a signed XML blob;
  • Get a third party auditor to validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assertions issued by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and provide a formal sign-off; and
  • Review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information ourselves and see if we can spot inconsistencies (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n call "liar-liar-combusting-pants")

Barring perfectly trustable computing, we cannot provide true Assurance functions through technology alone - we can just make it easier to share what we know in an easily interpretable fashion.

So basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack as it stands, is structurally complete enough for a first draft release (which I'll start packaging up shortly). Ofcourse, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's still specifications, nuances, details and documentation to get done; I know ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things will emerge as I review and cleanup what I've done, but that will be iterative, not net new.



Thursday, July 30, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 4)

(Mrs Iron Fog is awesome - she does my chores for me so I can blog)
(Part 3 is here)
Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previously described /ssapi/register/ an element can push up information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security state. This data is considered private and wouldn't be exposed via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack - aggregated or sanitized versions of it might be, but not in its as is form, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data could result in damaging information leakage.
In this section we start using anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SCAP element, The eXtensible Configuration Checklist Description Format (XCCDF)
  • /ssapi/element/xccdf/results/? - an element can POST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of a configuration check with an XML XCCDF result blob.
  • /ssapi/element/xccdf/results/ - an administrative entity can GET a list of elements that have provided test results.
  • /ssapi/element/xccdf/results/@all - an administrative entity can GET a list of all available test results for all elements (with URI, date and test type).
  • /ssapi/element/xccdf/results/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of recent XCCDF test results, an XML blob is returned with enumerated URI, date and test type.
  • /ssapi/element/xccdf/results/current/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent results from a configuration check. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original element attempts a GET, an error message is returned (prevents information leakage).
  • /ssapi/element/xccdf/results/00000001/? - an administrative entity can GET a specific prior result from a configuration check - exact URI will be provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /ssapi/element/xccdf/results/? query.
  • /ssapi/element/xccdf/results/current/score/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XCCDF standard score from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent configuration check.
  • /ssapi/element/xccdf/results/00000001/score/? - an administrative entity can GET cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XCCDF standard score from a specific prior configuration check
Some additional thoughts:
  • elements should be able to upload security information, but not read it. This prevents a malicious entity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element interrogating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack aggregator for useful information.
  • Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be URI's that are access restricted to all but high privilege users.
  • Again, none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above is published to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world
Next, how to express this information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public stack without giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game away...
(minor typo fixed - July 31, 2009)
(fixed incorrect escaping on non-HTML tags)

Wednesday, July 29, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 3)

(Part 1 and Part 2 are here respectively)
(a bit of a shorter post tonight as I was on nephew duty)
So far, I've been focusing on organization elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, by that I mean things about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, specifically policies and compliance.
We're going to start moving into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack space that deals with individual elements, and where we start using bits of SCAP. Before we can start considering individual elements, we need a way to register an element:
  • /ssapi/registration/ - invoked by a POST on an XML payload containing Common Platform Enumeration data, IP address and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unique network identifiers (for example a FQDN - thinking MAC addresses are a problem given network segmentation) returns a UUID and new credentials to be cached by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POSTer. The POSTing element was provided with a limited use credential for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial registration (consider this an aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication boorstrap). If anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r element tries to register cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP address or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unique identifier - note, after having examined CPE, I think my comment earlier this morning about self-asserted URI's into a namespace ("I am 10.45.0.34" & "I am http://www.f5.com/products/...") was slightly off, so I'm changing course a little.
  • /ssapi/registration/ - invoked by an aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated DELETE will unregister cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element. Invoked by an aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated PUT will allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element to update previously provided data including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network identifier, if and only if that identifier hasn't been claimed by anyone else (if it has, an error message is returned).
The registration payload could look like this:
note: I'm being lazy, this is not fully formed XML, pseudo XML at best
A few more thoughts:
  • this is a RESTful API, which implies web servers, but I don't think we want to start running embedded web servers all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place (not a fan of increasing attack surfaces). So most elements in an environment would push information to a purpose built aggregator.
  • Much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that could be returned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack is not for public (or valued customer) consumption. That means part of this stack will be a generalized security information collection and sharing mechanism - I want to avoid repeating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r part, and I think this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important thing we can accomplish, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack provides cloud users with a tool and shared meaning to be confident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud providers security.
  • I haven't said anything about aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack or access restrictions to parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack - I'm thinking OAuth for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and something akin to SNMP's public/private for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access restrictions (keep it simple for now, refine in v2.x).
  • The unique network identifier used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element should be strongly bound to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element, that is we need some way to prevent impersonation of one element by a malicious element - client side x509 certs are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easy answer but impose deployment overhead, will need to think more on this. Once registration is complete, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unique network identifier must be bound to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issued credentials and UUID.
  • I've avoided discovery for now, you could use a trusted feed from NMAP to populate some of your data set, but you still need to register cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 element for future conversation, although I suppose one feature implementation could be an agentless aggregator that also provides element security state using remote scanning.
Thanks to @lmacvittie for some thoughts on unique identifiers which led to a discussion on auto-discovery and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r goodness - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad news is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security stack has a lot more work to be put in, so maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 squirrel won't get his Friday wish, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goods news is Monday is a public holiday, so lots of thinking time this long weekend.
more to follow...
note: made some minor changes post a reread - removed incorrect reference to shared secret and revised URI to include UUID.

Tuesday, July 28, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 2)

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uber-Squirrel demanded I be done by TGIF...
part one is here; background detail is here.
This section deals with expressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual policies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider organization, obviously a complex information set to represent, so this will require a lot more detail and thinking. I think it's best that we use ISO27002 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version of ISO17799) given that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root standard from which all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compliance standards are derived; additionally
  • /ssapi/ISO27002/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/ISO27002/@all - returns an XML payload with values and freshness for all descendants
The following list enumerates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eleven clauses:
  • /ssapi/ISO27002/1/ - Security Policy
  • /ssapi/ISO27002/2/ - Organizing Information Security
  • /ssapi/ISO27002/3/ - Asset Management
  • /ssapi/ISO27002/4/ - Human Resources Security
  • /ssapi/ISO27002/5/ - Physical and Environmental Security
  • /ssapi/ISO27002/6/ - Communications and Operations Management
  • /ssapi/ISO27002/7/ - Access Control
  • /ssapi/ISO27002/8/ - Information Systems Acquisition, Development and Maintenance
  • /ssapi/ISO27002/9/ - Information Security Incident Management
  • /ssapi/ISO27002/10/ - Business Continuity Management
  • /ssapi/ISO27002/11/ - Compliance
One can iterate through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider's policies and security behaviours as follows:
  • /ssapi/ISO27002/1/ - returns a list of available security categories for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clause, immediate descendants only
  • /ssapi/ISO27002/1/1/ - returns a list of available controls within a given category
  • /ssapi/ISO27002/1/1/1/ - returns a list of available control statements
  • /ssapi/ISO27002/1/1/1/@all - returns an XML payload with values and freshness for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control set
  • /ssapi/ISO27002/2/@all - returns an XML payload with values and freshness for all descendants of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clause
An XML fragment from /ssapi/ISO27002/1/1/1/@all might look like this:
"We are compliant because of..." implemented
"xyz cloud corp uses a multi-tiered approach to..."
http://www.xyz.com/policies/policy1.pdf
http://www.xyz.com/policies/policy2.pdf
Some additional thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API (or A6):
  • this API should be a generic interface for exposing both technical and organizational security information
  • cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API is a standardized framework for exposing information and while it won't replace existing approaches, it will ease users ability to ask for that information and get an answer that matches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expectations
  • vendors will populate data to different parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack, vendors that can't respond to certain parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API (for example, a Cisco ASA firewall can't opine on your policy for asset management) shouldn't be considered non-compliant
  • cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re exists a need for an aggregator entity that collects stack information from distributed elements (maybe a firewall here, an IPS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, a compliance system somewhere else)
  • cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack should not explicitly disclose information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of system (at least not to guests in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unwashed masses), that's pointedly unsafe. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack may unintentionally leak information that could be useful to an attacker. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack should never say - "I'm not patched against CVE-2012-435", but it may say "my patching policy is within 4 hours", which tells an attacker cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir window of opportunity - we'll have to think about this topic a lot more.
more to come tomorrow...

Monday, July 27, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully? (Part 1)

Been thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API (A6), wondering if we can do as a RESTful API, something about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URI structuring appeals to me and I think relates well to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many different sections one would need to cover, here's part cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first blob:
  • /ssapi/compliance/ - returns a list of compliance regimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider operates under and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir
  • /ssapi/compliance/PCI/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/compliance/PCI/1/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/compliance/PCI/1/@all - returns an XML payload with values and freshness for all descendants
  • /ssapi/compliance/PCI/1/1/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/compliance/PCI/1/2/1/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/compliance/PCI/1/2/1/a - returns answer and freshness attribute
  • /ssapi/compliance/HIPAA/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
  • /ssapi/compliance/HIPAA/@all - returns an XML payload with values and freshness for all descendants
  • /ssapi/compliance/SOX/ - returns a list of sub-elements for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard, immediate descendants only
Working on layout for policy expression, will share tomorrow.

Sunday, July 26, 2009

The security stack could work, don't worry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rabbit hole

I attended my first cloud camp and came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect conclusion that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are those that understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud and those who don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud.

I say I came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect conclusion because I realized that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second catgegory is not of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uninformed, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are those folks that just see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud as a utility, a tool, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool works as promised, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't really care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inner workings until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y faced with a problem.

The challenge tends to come in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of a compliance person or a security officer being a proud member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSFTPB (Royal Society For The Provention of Business). The security or compliance expert starts asking hard questions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool user goes "um... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lock thing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser". Which, to me, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right (obviously wrong) answer; why should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool user have a good answer?

The problem arises when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expert tries to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility and gets at best a high level security whitepaper, at worst at bullet point feature list.

Chris Hoff recently posted of building a standardized security assessment API, a way for cloud providers to express cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment. Some rebutted with concerns of how do you know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API is letting you talk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real target of assessment? Short answer is ofcourse you don't (an evil provider can run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API inside a fully hardened virtual instance or just straight out return false answers)?, but I think that kind of misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, for three reasons.

Firstly, it's really about addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concerns posed to our tool user population, who don't know to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se type of questions. As long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of correctness and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right answers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that's enough for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool user and should appease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compliance kings (we know this from past experience with nearly total acceptance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of vulnerabilit scanners).

Second, if you're going to fake cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, you're going to a lot of effort to build a lying stack that will provide reasonable answers that are consistent, persistent and have an appearance of integrity. I'm fairly certain cost issues would win out and it would be cheaper to buy a stack or assemble from COTS components that craft your own.
Third, lies only work if you don't get caught - while it will be small solace for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first victims, it will also be obvious to everyone that something wasn't right and eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth would come out. Admittedly this is not a desirable, but it would not be dissimilar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poor practices full disclosure policies were designed to overcome.

I think if you give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool users real and easily accessible answers, in formats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can use (XML and PDF come to mind), we can make 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud naysayers happy.