Thursday, February 24, 2005

Insiders or Outsiders: Bigger Risk?

NetworkWorldFusion features a debate between two authors. One writes Employees [are] cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest threat to network security. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r says Intruders [are] cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest threat to network security. My personal opinion is that rogue insiders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most damage, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency with which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appear and cause havoc is lower than people think. Outsiders, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, are frequently attacking and exploiting enterprises, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not often causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of damage a rogue insider could.

What do you think? Which group presents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger risk? I decided to frame this question with respect to risk, since one can estimate risk using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation

risk = threat X vulnerability X cost of asset (replacement) or "asset value"

On a related note, I found this October 2004 article by Anton Chuvakin to be interesting: Issues Discovering Compromised Machines. He begins by questioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claim made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Exploiting Software, that "Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global 2000 companies are currently infiltrated by hackers. Every major financial institution not only has broken security, but hackers are actively exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m." While this is plausible, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of exploitation is uncertain. Do intruders have complete control of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organizations, or are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contained in some manner? We will probably never see proof of this, but who knows what could happen after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest T-Mobile disclosures.

On anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r related note, Microsoft security expert and employee Robert Hensing has been on a blogging tear. He is posting details of some incident responses he has done. They make for good reading.

3 comments:

Anonymous said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is a little misleading to begin with. If you are looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat as a possible source of boxes being compromised, than I would have to agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk is much greater from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside than from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. The number of probes and intrusion attempts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r external sources outweighs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal threats by a significant number, probably on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order of 10 or 100 times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal threat.

But when I think about insider threats, I'm less worried about a malicious hacker compromising my database than I am a legitimate employee misusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been given to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same database. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS analyst, it is nearly impossible for me to have any visibility into this internal traffic, let alone differentiate between legitimate traffic and abuse of access.

Internal threats are usually less about a keystroke logger or compromised systems, and more about poor access controls in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database. Is that outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purview of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network administrators? I think it has to be.

Anonymous said...

I would have to put a little more weight on insider threats. In addition to points already made, "insiders" sometimes cause accidental issues, disclosure of information, or installation of prohibited software. Malicious, evil insiders, I will agree are rarer than most people think, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of honest mistakes or simple non-compliance with security standards makes up a good chunk of incidents, and a very good chunk of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause of an incident (creating a vulnerability that an outsider takes advantage of).

In taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question very strictly, I think internal employees are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger threat to network security.

-LonerVamp

Anonymous said...

this paper addresses this discussion nicely. slides 23-24 pretty much fill in some nice missing gaps. however, if i were an organization i would assume that any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above, or even all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m could be working togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r against you (insiders, miscreants, state-sponsored, terrorists, international organized crime rings). it doesn't have to be paranoia, but it's a part of analyzing your risk. it's my personal opinion that corporate espionage is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest risk for damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet in general with lower occurances (maybe 2 to 10 times per year). however, this might not apply to your specific organization, as reliance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet or wifi or whatnot various place to place.