Tuesday, August 29, 2006

Again, External Threat Is More Prevalent

I almost fell out of my chair when word of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following story reached my Bloglines account: Study: Rethink cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Outsider Threat. I published my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevalence of external threats in my first book, and I reiterated those thoughts recently. Now I appear to have some outside help. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

The report took data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Justice Computer Crime and Intellectual Property Section's network intrusion and data-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft prosecutions between 1999 and 2006. (See How Much Does a Hack Cost?) Phoenix Technologies commissioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data came from DOJ cases...

Outside attackers committed 79 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crimes where user accounts were infiltrated[,] and former employees were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrators in 21 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of breaches. And overall, 57 percent of attackers had no relationship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organizations, 22 percent were former employees, 14 were current employees, and 7 percent had a customer or supplier relationship or similar "connection" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victimized organization.
(comma added, emphasis added)

Where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% myth now? Gone, except in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of people who cling to it. I don't expect to see it disappear overnight. Please, if you want to repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% myth, at least cite a source. (You won't be able to find anything authoritative, just reports citing each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in a circular manner.)

11 comments:

Anonymous said...

Outside attackers committed 79 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crimes where user accounts were infiltrated.

Note that this provides a very biased measure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relative danger of internal vs. external attacks: I think it's fairly safe to guess, even without authoritative sources, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of internal attacks don't involve infiltrating user accounts, but instead are accomplished by legitimate users abusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privileges with which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were provided.

Richard Bejtlich said...

Hi Colin,

I'm sure we could debate just what "where user accounts were infiltrated" means, too.

Anonymous said...

Colin makes an excellent point. The very term "infiltrated" is pretty biased towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implication of an external attacker ...

Anonymous said...

Hi Richard, finally some actual data points, but I keep thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denominator for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se statistics: prosecutions between 1999 and 2006. Add all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases that don't see a court room, and I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality is even more tilted towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat.

Insider threats seem relatively easy to prosecute given you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name, address, SSN, etc and most importantly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are within reach of law enforcement. Surprising, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y constitute a small fraction of DoJ prosecution data? On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, insider threats, as I believe you said, are threats you can actually eliminate. Perhaps because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be eliminated (i.e. fired), companies may leave it at that and avoid a public court room battle.

Then again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real intrusions missing from this equation are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones Maj Gen Lord describes. Talk about an external threat, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind that siphons off 10-20TB of your data! How many external threats originate in countries that don't play nice with LEO? I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se would add quite a few more to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat column.

Anonymous said...

What a great resource this study will be for awareness efforts! I was pleased to see stats that don't marginalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat. However, I also suspect that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radical shift from "conventional wisdom" is at least partially explained by a difference in what constitutes threat. By that, I mean that this study seems to define a threat as something that might result in a crime. Perhaps that's too narrow, as I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oft-cited "80%" stats also include internal users wandering inadvertantly into areas where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y shouldn't be. Even if that sort of "wandering" is less than innocent, I can see event scenarios that would be disruptive and even harmful that may not be criminal. If you throw those in, what happens to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stats?

With regard to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's one sentence I can't make sense of as is. The third bullet says, "84 percent of computer crimes could have been prevented if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer that was broken into had been verified as an authorized device." IMHO, it seems that it should actually read, "84 percent of computer crimes could have been prevented if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer that was broken into had verified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source as an authorized device." That makes much more sense to me. Am I missing something?

It's been some years, Rich, since we've been in touch, but I stumbled on your blog only just yesterday and have added it to my Bloglines - thanks!

Unknown said...

From my college days in statistics, I've long become a skeptic when it comes to using stats to back an argument. It is actually fun to take a particular data set or study, and "move" numbers around to back completely opposite arugments. It's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beauties and dangers of statistics (and rhetoric).

I really believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% myth problem is twofold.

First, few begin to define what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myth is and what those terms mean. You've mentioned "80% of all security incidents are caused by insiders" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myth. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se incidents that are successful, or do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y include all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise that bounces off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewalls from automated worm attempts? Is this based on cost, such as whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r an internal incident costs more than a successful external incident? Did someone mention threat, and how would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y define threat? Would something that takes advantage of a configuration problem be an internal issue or an external issue? What about a virus a user has to execute to activate? Does this include businesses with only 5 employees (insiders) but a large Internet presence in terms of traffic? What about a company with 50,000 insiders plus extranets? What about college campuses? Before making assumptions on things like this, I totally require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement laid out, terms defined, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assumptions defined. I don't mean to pick on your definition, but most every time I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% statement made or attacked, it is not very qualified at all. We could all be in total agreement, but we just see things just differently enough that we get blinded by arguing semantics. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact remains that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are both insider and exsider (hehe) threats and incidents that need attention.

Second, I don't think 80% is necessarily meant to be an empirically backed measure all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r something used as part of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r common sense or an illustration. This is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole 80%/20% notion that 80% of your problems are caused by 20% of your users, or 80% of your security incidents can be fixed with only 20% of your budget. I really think a lot of people use it in that fashion. It might not be journalistic or scientific, but it is still used.

In my experience, I have felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects of very, very, very few external successful incidents(and yes, maybe I just don't catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, I'll accept a level of error). I do, however, see far more attempts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewalls from automated worms, automated script scans, etc. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand (I think this gives me three hands now...) I have felt many affects from poor user education, poor user habits, implementation mistakes, internal misunderstandings, or just mistaken risk acceptance, etc.

Because of this feeling, I think a lot of people combine that feeling with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical 80%/20% idea and just explain that 80% of our incidents are from insiders. I certainly feel that, but I've certainly not taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence for it.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, much like statistics, without definitions, I can argue that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only external incidents that make any type of measurement on external incidents are highly skilled hackers that I wouldn't have been able to stop anyway. Everything else might be attributable to insiders or insider mistakes. Conversely, I could also say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only insider incidents are those of a consciously malicious nature that cost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company some dollar value and did not include anything from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external world (i.e. if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no Internet and no outside physical world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident would still have happened). In eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r case, I've dramatically changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measures to suit my approach.

Anyway, sorry to vomit out about that, and I certainly do not mean any of this in anything ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a friendly discussion tone. I truly enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge you present in defining terms and dispelling myths (you've made me a convert in using terms like "threat" appropriately as much as possible). :)

Unknown said...

Wow, please delete one of those, I've obviously got rabies or something today...

Anonymous said...

Vamp - thanks. Not sure if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "You" you're addressing is me or not, but you stated and supported my position much better than I did. Stats are dangerous things to rely on unless terms and parameters are well-defined (which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y *so* aren't here). Cheers!

Unknown said...

Hrmm...I swore I accidentally posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing twice, hehe. Oh well. I meant "you" as pretty general, but that works. :)

Anonymous said...

Firstly, I'd like to say Thank You. Thank you for discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research at all. Being one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people involved in determining what would be put into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report I wanted to point out a couple of things. 1) Yes, this research could be flawed. All research can be flawed. Our intent was to find a raw data set that was as close to truth and reality as possible; in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, NOT A SURVEY. The flawed portion is that it is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases that were prosecuted (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S.) and let me tell you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things take years to prosecute so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re aren't that many. Also, when you consider that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases go back to 1999, you're looking at less sophisticated attacks. What most people don't know about this report is that it wasn't originally done to release to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public. It was done because Phoenix needed to figure out what had really been happening. The CSI/FBI report is interesting but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves admit it is only what people will admit to and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard industry analyst firms will just survey cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers resulting in similar responses (I'm guessing) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSI/FBI report.

2) Internal vs. External was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research was attempting to prove/disprove. As one of you mentioned above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that an internal breach would end up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 court system is certainly less than just firing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person and maybe suing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in civil court for some sort of remuneration. What Phoenix was ultimately trying to figure out was 'if you identified devices that access your network, can you decrease unauthorized access and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft?' I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir answers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report ended up being pretty interesting. Once something interesting gets around, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PR people start salivating and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest is history. Now, that being said, anyone who wants to, can go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DOJ’s website and do a few Lexus/Nexus searches to slice and dice this data anyway cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want. The report certainly raises questions that aren’t answered.

Because, as I’ve admitted, I was involved in this project I’m enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation and would love to have one answer for myself: If you were trying to figure out where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats were coming from and how to prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, what would you do and where would you go to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data? And, I don’t mean any of this in a defensive or derogatory way, this was a challenging project and we did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best we could, but we’re only a few people and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas of many are certainly more influential.
Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to discuss

Anonymous said...

As Adam of Emergent Chaos said, and was mentioned above, prosecution of insiders might cause too much brand damage. I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Insider by Dan Verton to study this issue. The author suggests that insider losses are generally hidden losses that are low-tech, by authorized users and are revenge or greed motivated, something policies and training won't stop. The estimated losses in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US alone are staggering.

Shouldn't all unauthorized use (or abuse) of enterprise resources should be included in this thinking, not just infiltrations that lead to investigations and prosecutions.