Tuesday, November 22, 2005

The Good and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bad About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New SANS Top 20

Back in January I noted that SANS was not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat" and "vulnerability" properly in its call for help on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "twenty most critical Internet security vulnerabilities," represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo at left.

You will remember that a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset. A vulnerability is a weakness in an asset that could lead to exploitation. An intruder (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat) exploits a hole (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) in Microsoft IIS to gain remote control of a Web server. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, threats exploit vulnerabilities.

Today, version 6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 was released. I'll start with "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good." I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2005 content is much better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2004 edition. The 2004 list, and previous lists, displayed 10 Windows vulnerabilities and 10 (often dubious) Unix vulnerabilities. The 2005 list, in contrast, displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following vulnerabilities:

Top Vulnerabilities in Windows Systems

* W1. Windows Services
* W2. Internet Explorer
* W3. Windows Libraries
* W4. Microsoft Office and Outlook Express
* W5. Windows Configuration Weaknesses

Top Vulnerabilities in Cross-Platform Applications

* C1. Backup Software
* C2. Anti-virus Software
* C3. PHP-based Applications
* C4. Database Software
* C5. File Sharing Applications
* C6. DNS Software
* C7. Media Players
* C8. Instant Messaging Applications
* C9. Mozilla and Firefox Browsers
* C10. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cross-platform Applications

Top Vulnerabilities in UNIX Systems

* U1. UNIX Configuration Weaknesses
* U2. Mac OS X

Top Vulnerabilities in Networking Products

* N1. Cisco IOS and non-IOS Products
* N2. Juniper, CheckPoint and Symantec Products
* N3. Cisco Devices Configuration Weaknesses

Bravo. I think that is a significant step towards realizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem at hand. To be fair to Microsoft, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could have been "Unix services" and "Unix libraries" sections. I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of network products and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications. Content-wise, this is a great resource.

Now, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad." The top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page has this link: -----Jump To Index of Top 20 Threats -----. For Pete's sake, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is "The Twenty Most Critical Internet Security Vulnerabilities." These are not threats.

Let's see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r terms in use:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction we see:

"In addition to Windows and UNIX categories, we have also included Cross-Platform Applications and Networking Products. The change reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolving threat landscape."

I can accept this use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to refer to parties who exploit vulnerabilities.

Next:

"We will update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions as more critical threats and more current or convenient methods of protection are identified, and we welcome your input along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way."

Here, threats should be "vulnerabilities".

Section C2:

"Compromising a gateway could potentially cause a much larger impact since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outer layer of protection and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only protection for some threats in many small organizations."

This should eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r replace "threats" with "vulnerabilities", or "for some" with "from some".

Section C5:

"The main threats arising from P2P software are:"

I think threats should be "risks" here, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is a muddle of different issues.

Later in that section:

"The number of threats using P2P, IM, IRC, and CIFS within Symantec's top 50 malicious code reports has increased by 39% over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous six-month period."

Here, I can accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to describe parties abusing P2P, IM, etc.

Section C8:

"These applications provide an increasing security threat to an organization. The major threats are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:"

Here's a simple rule of thumb: applications can never be "threats." Again, I suggest replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second "threats" here with "risks".

One final note: I am not a lone voice speaking on this subject. The Financial Times, of all people, is linked from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS page with a story Hackers pose new threat to desktop software. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, since a hacker is a "party."

Security will not be taken seriously as a "profession" until its "thought leaders" use basic terms properly.

11 comments:

John Ward said...

I think we need anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r amusing comic. I think this one should feature Spiderman =)

Anonymous said...

ok is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a proper and aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication definition for threat, vulnerability and risk in terms of network security because i see different definitions from different authors.

Anonymous said...

The problem is worse than Richard depicts it. SANS tagged all of OS X as a "Top Vulnerability in UNIX systems", indicating SANS has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own convoluted definition of "vulnerability" that has nothing to do with weaknesses in assets.

Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel less comfortable saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top vulnerability in Windows is Windows?

Anonymous said...

For *most* people, does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of threat or vulnerability really detract from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of this document?

John Ward said...

From a business standpoint, yes it does matter. The actual meaning may be derived by context in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, but while it may seem like nitpicking, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improper use of terms "threat", "vulnerability", and "risk" lend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication breakdown between IT staff and business parties. This is especially true in a global environment where all parties speak cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same "language" by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loosest of definitions. This not only applies to non-North American English speakers, but managers who can barely communicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intentions. Example: A manager goes around saying we need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest and latest greatest IDS/IPS to protect ourselves from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest threats. While more familiar staff may be able to read in between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines, inexperience and language barriers will lead to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wondering “Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a new vulnerability that we need to patched on our systems?” or “Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re new parties with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions of attempting to attack our systems (definition of threat)?” Proper use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms enhances communication and prevents potential breakdown points in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication process. Organizations like SANS, who in some circles are considered an authority, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect terms promote improper communication techniques in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security field, adding confusion to an already chaotic scene.

Like I said, we need anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r amusing comic to clarify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms just like this one (http://taosecurity.blogspot.com/2003/10/dynamic-duo-discuss-digital-risk-ive.html)

Anonymous said...

You need a word to describe "people-or-programs-that-are-trying-to-break-in-to-our-systems," and that really is different from "things-that-are-broken-in-our-software" when you're trying to educate management about what you're doing to protect assets and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should pay for it.

If people say "threat" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y prefer a one-syllable word to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more correct "vulnerability," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can always say "bug." ;-)

Anonymous said...

But I bug does not necessarily create a vulnerability.

Anonymous said...

It is very critical to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat and vulnerability" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own place to avoid misunderstandings.

Anonymous said...

The Top20 has become so generic as to be worthless. Does "W1. Windows Services" say anything to us ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than that windows software is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single greatest source of windows vulnerabilities? It is so vague as to be meaningless and illogical.

In this iteration, a certain vendor managed to persuade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moderator to not list a number of critical issues by dismissing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as "insecure management practices" even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "practices" were in fact critical flaws in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base product.

Richard Bejtlich said...

Far be it for me to defend SANS, but a couple of you seem to take exception with SANS because it lists "W1. Windows Services" and "U2. Mac OS X" as "vulnerabilities." The Windows Services item has plenty of specific vulnerabilities listed.

I agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac OS X listing, however, leaves much to be desired. Item U2 basically says "check your patches."

Arturo 'Buanzo' Busleiman said...

But, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, do you agree, in overall terms, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top-20 2006 document is something a sysadmin (not a security expert), should read, or take into account when analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company he/she works for?

Come on, this is not for security experts that's pretty obvious, it's for admins that are not security experts or are just starting into in-depth security!

That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document, and for that purpose, it's great. It's not a white paper on OSX issues. Come on, man, at least put yourself into perspective.

Of course, you can say MY opinion shouldn't count, as I worked on sans's top-20 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last three editions. :)