Thursday, June 02, 2005

Profound Words from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Past and Present

I recently mentioned writings by Marcus Ranum on "deep packet inspection" and related topics. This morning while browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall-wizards list I read a profound post by MJR. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most powerful part:

"Basically, what's going on is that a lot of security practitioners are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of being asked to make something safe that is fundamentally dangerous. So we hide behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion of 'risk management' - basically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illusion that 'if we try hard to cover our butts it's less dangerous than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise.'

What that has accomplished is to create an environment in which security has NO CHOICE but to compromise because senior execs know that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want out of one security practitioner, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can keep asking until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want out of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r...

My feeling is that during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90's we, as an industry, dug ourselves into a hole we're not going to be able to spend or risk manage our way out of. We did that by trying to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'real world' instead of demanding excellence, good design, and wise leadership."

Wow. That statement really made me question my role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r my contribution has been worthwhile.

For a sign that nothing has really changed in security, check out this thread from February 1998. It followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of a ground-breaking paper by Tom Ptacek and Tim Newsham. This seven-year-old thread is as applicable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS vs "IPS" argument as any I've seen recently.

5 comments:

Unknown said...

It may be true that "Plus ca change..." in security, as you and Marcus Ranum suggest. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet has been changing dramatically in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last decade. So have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements for security.

Remember that access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet was once confined to a small number of like-minded people, mostly Americans in academia and government. It is now open to everyone, with an endless variety of expectations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, and an endless variety of approaches to it.

By analogy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet was a small town. It has become New York. We didn't need to lock our doors before, now we do. We could safely walk anywhere, anytime. We now must be more careful.

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes continue. For one thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys is changing. Instead of solo bandits, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are forming gangs and, perhaps, larger, more institutional agglomerations.

In this environment, is it surprising that things seem to be getting worse?

Anonymous said...

Be careful what you wish for. Poor design and smart hackers keep us security folks employed.

Anonymous said...

Fundementally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet really hasn't changed all that much since it's inception. It has become more complex, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific technolgies have changed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of traffic has increased a thousand fold. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying concepts haven't changed much.

To continue with your city analogy, yes, you need to lock your door at night now, but you still live in a house. The fundementals haven't changed, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in population has caused you to be exposed to a larger number of vulnerabilities.

I could be wrong, but I'd be willing to hazard a guess that, overall, a particular system is better protected now than it was 10 years ago. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are just so many more people out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re trying to break into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that it's also much more likely to be compromised now than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.

Anonymous said...

The real world is about risk management and that applies equally to security. Just because something is insecure doesn't mean it doesn't deliver value. Just because a security practitioner knows how to knock out one risk, doesn't mean he can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire process totally secure, so it may simply not be worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort.

For some reason obscure to me at least, Internet security grew up with an expectation of no risks. As this isn't a realistic option - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are always risks - many Internet security people spent and continue to spend a lot of brain cycles crafting cunning mental pictures and logic to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world look like as if it were no-risk.

So when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come up against risks and risk decisions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flesh, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to create exceptions and simplifications. Classically, "insider threats" are assumed to not exist, and only hacker threats exist, even though insider losses and events generally outweigh external events. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y build more and more badly assumed exceptions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mental framework becomes more and more unsuitable to deal with newer and more complex risks.

When a manager chooses to not close out a security hole that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security consultant knows how to close, this manager cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n must be wrong, a priori, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consultant. It's really difficult to get past this point, until some sort of epiphany is reached and risk analysis becomes routine.

IMHO! Iang...

http://www.internetperils.com/risk.php

Richard Bejtlich said...

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link to InternetPerils.com!