Tuesday, July 11, 2006

Of Course Insiders Cause Fewer Security Incidents

Today's SANS NewsBites points to this eWeek article, which in turn summarizes this Computer Associates press release. It claims "more than 84% [of survey respondents] experienced a security incident over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 12 months and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of breaches continues to rise."

The SANS editor piqued my interest with this comment: "(Honan): It is interesting to note that this survey highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat is becoming more prevalent than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal one." (emphasis added)

"Becoming more prevalent?" This is Mr. Honan's answer to this part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA story: "Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizations which experienced a security breach, 38% suffered an internal breach of security." That means 62% experienced an external breach, or perhaps less if one could not determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach.

I highlight "becoming more prevalent" because it indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker (like countless ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) fell for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "80% myth," which is a statement claiming that 80% of all security incidents are caused by insiders. I document in Tao cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of this myth. I challenge anyone who believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% myth to trace it back to some definitive source. If you do you will find it leads nowhere reputable.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% myth were true, security would be a fairly easy problem to solve. The biggest problem I see with modern digital security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inability to remove threats from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, victims of secuirty incidents lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personal power to eliminate threats; only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police or military can really remove threats from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police is ill-equipped and overwhelmed, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military similarly not well-positioned to eliminate threats, attackers continue to assault with impunity.

However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority, if you believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% myth) of threats are internal, this completely changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. To immediately and irrevocably alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation, all an employer or organization needs to do is identify and fire or remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal bad apples. Problem solved. "Oh, that's too hard," I'm going to hear. Maybe, but compare that option (which happens every day) to identifying, apprehending, prosecuting, and jailing a Romanian.

Since organizations have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to largely remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat, but security incidents continue to be a problem, insiders must be dwarfed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsider threat community. However, as I've said elsewhere, insiders will always be better informed and positioned to cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir victims. They know where to hurt, how to hurt, and may already have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to hurt, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir victim.

The bottom line is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of external attackers far exceeds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of internal attackers.

6 comments:

Anonymous said...

Shame on you! Are we talking about "Threats" or "Threat Agents" here? By picking up that old saw about 80% and mixing terms, you confuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue even more. Also even if 38% of reported breaches were internal that does not mean that 62% were external it just means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining responses are not described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CA puff piece. Beware of statistics designed to sell product.

Considering that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word Threat has been misused for so long, In my mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assertion can be made several ways:

1) 80% of all damages are caused by insider Threat Agents

2) 80% of all Threat Agents are insiders

3) 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of systems compromised were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of an insider Threat Agent.

I'll bet someone else can come up with more ways to play with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers.

Richard Bejtlich said...

Chris_B,

"Shame on you"? Please, first read what I wrote.

"That means 62% experienced an external breach, or perhaps less if one could not determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach."

Second, I have always explained that "threat agent" is a poor term for which I simply substitute "threat." Differentiating between "threat" and "threat agent" causes too many people to think "threat" = "vulnerability" and "threat agent" = "party".

Anonymous said...

I am glad someone finally threw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 yellow flag on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat (all of those secretaries and businessmen/woman attacking servers and workstations.....). I think this gets pushed so much so you will buy 10X cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gear you don't need.

Last time I checked Sandy Burger was able to smuggle State secrets out in his socks (as did good old Fawn Hall), and a high speed VA employee decided to go home with half of America's info on his laptop. These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items that should be focused on for insiders, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lose/cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of information that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are authorized to view. Too many times industry gets this mixed up with what is viewed as traditional security threats.

Didn't Mr. Burger only get his hand slapped for such a large infraction?

Anonymous said...

It's a floor wax AND a dessert topping! Insiders can be both threats and vulnerabilities. But I'm also skeptical of this report, because I know from my own experience that most organizations don't fully report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir insider incidents. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y categorize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m differently (as "HR problems" or "fraud" but not as "computer security"), or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at all for fear of image problems. It's much easier to report external attacks and play cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 innocent victim. But I don't consider virus or spyware infestations to be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same level as, say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of confidential information or intentional disruption of services.

Anonymous said...

Richard,

I strongly think its important to educate people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strict dictionary meaning threat is approximately equal to threat agent, but to use a physical example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference, fire is a threat to assets whereas an arsonist is both a threat and a threat agent. When considering countermeasures one should take both aspects into account.

Also I still think you picked a bad example to make your point. Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article and press release are vague as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original saying. Also as a previous poster pointed out, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re exists no agreed upon definition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat in terms of computer security to begin with. You may well have an important point, I just dont think you made your case well at all.

Richard Bejtlich said...

Chris_B,

Try reading my books, articles, are dozens of blog posts on this subject. I'm not about to repeat myself every time someone tries to challenge me with a comment. Try searching for taosecurity threat.