Wednesday, November 15, 2006

Comments on SANS Top 20

You may have seen that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS Top 20 was released yesterday. You may also notice I am listed as one of several dozen "experts" (cough) who "helped create" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. Based on last year's list, I thought I might join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development process for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Top 20. Maybe instead of complaining once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list was published, I could try to influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process from inside?

First let me say that project lead Rohit Dhamankar did a good job considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. He even made a last-minute effort to solicit my feedback, and some of my comments altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 categories you now see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20. I thank him for that.

As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list goes, it's important to realize that it's based on a bunch of people's opinions. There is no analysis of past vulnerability trends or conclusions based on real data, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability Type Distribution I mentioned earlier. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where I realized people were just going to write up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts on various problems (Internet Explorer, Mac OS X, etc.) I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project. Rohit emailed me early this week, but I was formally done in early October.

If you think a bunch of people's opinions is worthwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you may find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 useful. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20's utility, such as it is, derives from name recognition. If that can help influence your organization's management, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I guess it is helpful.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest Top 20 is a very informative document with plenty of references. I would expect most security practitioners to understand or at least recognize everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is as "actionable" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Top 10, which listed specific vulnerabilities (e.g., "RDS security hole in IIS," CVE-1999-1011) that you needed to patch now.

The latest Top 20 has hundreds of CVE entries, and as such is more of a meta-description of Internet targets. In that respect I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact it's called an "attack targets" document, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing inherently "vulnerable" about, say, Mac OS X. Instead, Mac OS X is being attacked.

What do you think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new list?

10 comments:

Anonymous said...

sigh

That was useless, I see why you distanced yourself from it. Nothing actionable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, not even well written since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were so many weasel words.

Unknown said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be all amounts of contention with any list that tries to distill something as large as what it does. Besides, I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get hell everytime cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mention an actual product like IE and not Opera/Firefox. And I can only guess at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pushback management gives to operations everytime cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y throw this list out. "Are we secure on all this?" "Uhh, you're not using this list properly..." Or perhaps trying to measure all of this is getting too difficult, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are less worms and viruses making this a bit less dramatic? I dunno...

I think this document just has a problem with its identity. Does it list actual distinct vulns like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one, or do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y increasingly group things into buckets like "web applications" (cop out!) or instead change all of it and list targets? Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do already-broken targets or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical ones? This latest one has a feeling that some of this is a prediction. Including Mac OS X is a huge disappointment. Yse, it might be an increasingly enticing target, but it is not a problem right now or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year. VoIP Phones/Servers had no place in this, especially when you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glaring holes of wireless insecurities and/or insecurity of data at rest on laptops (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft).

I expect next year cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have such a watered down and general top 20 that it is like, 1. Windows, 2. Unix, 3. Anything dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web. And so on...

I really disliked #19 Users (phishing / spear phishing) and #20 Zero-Day Attacks and Prevention Strategies. Users should have just been replaced with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r social engineering or phishing.

I really liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new groupings. I think in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past couple iterations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have really struggled to match 10 Windows and 10 Unix items. Last year 85% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10 Windows vulns, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unix ones got very little space. Maybe that's because those Unix ones have been written about almost every year, and maybe it is just getting old. :)

But again, with any list like this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be problems and disagreements, which means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identity and purpose of this needs to be very clear.

Anonymous said...

I suppose it is good of you to cough about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that you are a security expert.

Arturo 'Buanzo' Busleiman said...

It seems you've made some kind of a routine to say a word about SANS TOP-20, Mr. Bejtlich.:

Richard's post for TOP-20 2005.

And my opinion, which I posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, it's still valid here.

Sincerely,

Anonymous said...

"I would expect most security practitioners to understand or at least recognize everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list."
But isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top20 to be a consolidated list, designed mainly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 non-security practitioner? Perhaps it was originally, but as security has gotten to be a specialty and formal profession, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources are widely known to those people; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, having worked on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project, I believed it to be focused on issues that normal non-security IT people could use as a quick guide.

Anonymous said...

Rich,
Do you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list was more helpful when it was organized as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 10 vulnerabilities?

Anonymous said...

All your base are belong to us.

Richard Bejtlich said...

Anonymous,

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original top 10 list was more or less actionable. The current list is not actionable. So my DNS servers are attack targets. And...? Not much you can do about that.

Anonymous said...

I was tasked with writing about Opera and Firefox for SANS Top Twenty. They decided not to use it.

Edward Ray

Anonymous said...

In a new security world of threat-modeling and securitymetrics.org it's sad to see organizations such as SANS survive.

To support that claim, maybe I should mention CVSS (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Vulnerability Scoring System) being used by NIST (aka cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government's standards body) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir National Vulnerability Database (NVD). CVSS was drawn-up by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIAC Vulnerability Disclosure Working Group. The NIAC VDWG is made up of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leading experts for CERT, Cisco, eBay, ISS, Microsoft, Qualys, and Symantec.

Oh yeah, and Tenable (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular security scanner, Nessus) today announced a partnership with NIST NVD to use CVSS in all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products (both Nessus and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Passive Vulnerabiility Scanner) and provide feedback on vulnerabilities.

What's funny is that CVSS isn't as complete as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat-models that STRIDE/DREAD (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Press book, Threat-Modeling) and Trike (presented at Toorcon'05) provide.

According to a recent survey at Jeremiah Grossman's (WhiteHat Sec) blog, DREAD is more popular than both CVSS and Trike for web application security professionals.

CVSS is likely to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dominant standard for vulnerability measurement with regards to public disclosure, while is likely to revolutionize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private disclosure industry if used properly and often.

Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NVD, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a tool called provided by Purdue University that allows you to create profiles of vendors/products/keywords that daily (2x) update you via email on new vulnerabilities that match your criteria in both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NVD and Secunia vulnerability databases.

It's also my "opinion" to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSVDB project to query for vulnerabilities, as it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complete implementation I've seen. Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir daily RSS should be avoided, as OSVDB wants to document every vulnerability, including ones in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past... so you could see PDP-11 exploits and assume it's current. However, reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blog is recommended.