Thursday, November 16, 2006

Common Security Mistakes

I received an email asking me to name common enterprise security mistakes and how to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. If I'm going to provide free advice via email, I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r just post my thoughts here. This is my answer:


  1. Failure to maintain a complete physical asset inventory

  2. Failure to maintain a complete logical connectivity and data flow diagram

  3. Failure to maintain a complete digital asset/intellectual property inventory

  4. Failure to maintain digital situational awareness

  5. Failure to prepare for incidents


The first three items revolve around knowing your environment. If you don't know what houses your data (item 1), how that data is transported (item 2), and what data you are trying to protect (item 3), you have little chance of success.

Once you know your environment, you should learn who is trying to exploit your vulnerabilities to steal, corrupt, or deny access to your data (item 4). Security incidents will occur, so you should have policies, tools, techniques, and trained and exercised personnel ready to respond (item 5).

15 comments:

Unknown said...

Excellent advice!

I hope it drives home cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for what basically boils down to documentation. The kind of stuff far too many techies groan about. Inventory, diagrams, asset lists, processes...security is not all about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fun metasploits and ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reals and IDS appliances.

Anonymous said...

Richard,

Well done! I couldn't agree more!

Very often when I'm on-site, I tend to ask questions regarding connectivity that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client simply cannot answer.

Many times during an engagement, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client will ask me if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was any sensitive personal info (SSN, credit card numbers, etc.) on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that was attacked/compromised...and very often, I'm incredulous. I mean I simply find it hard to believe that I'm on-site to help "put out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire" as it were, and I'm being asked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system what's on it (ie, applications, data, etc.).

Very well done!

Harlan
http://windowsir.blogspot.com

Anonymous said...

Thank you for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free advice via you blog!

Anonymous said...

Do you have example or link to an example of a complete logical connectivity and data flow diagram.
Thank you very much

Anonymous said...

These comments are good and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point. I would like to tie cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Firewall This" diagram by Andre Durand from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous Five Blog Posts You Should Read post.

Looking at that convoluted mess that represents a complex enterprise today, and applying your statements, how could one not start at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is kept and determine business data flow (file access) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, as opposed to edge security?

Gary said...

Um, I beg to differ. Having inventories, meaning documented lists of things (as implied by most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous comments if not stated by Richard), is 'just' a documentation exercise. There's surely a danger of 'knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price of everything but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of nothing', in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inventories are only helpful if management uses and makes sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data. Risk analysis is, for me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essential element: someone has to look at what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization has, identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security threats, vulnerabilities and impacts, and design appropriate security controls that need to be implemented. The inventories are one way to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, admittedly a good way but strictly speaking not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way. It is equally possible, for example, to start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "obvious at-risk information assets" - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 databases of corporate and personal secrets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business' applications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'business critical networks' etc. that senior management or any knowledgeable independent observer would regard as vital [many organizations are doing this already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guise of "SOX-relevant processes and systems"]. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are properly secured as a first step, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r less-critical information assets necessarily get protected at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder can be addressed through second and subsequent steps. Classification of information assets is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to achieve this aim. We do not need to complete a thorough, complete and accurate classification in order to appreciate that certain assets are bound to require strong security measures. You could even say that completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inventory or classification is merely wasting time that could be better spent on securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vital assets.

Richard Bejtlich said...

NoticeBored,

I think it is important to have an inventory of every host for which you are responsible. Anything can be a vector for attack. I've seen print controllers used to attack ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hosts, and no one knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se boxes even had IP addresses or ran a vulnerable version of Windows (or ran Windows at all)!

Of course you should care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high priority items as determined through risk assessment, but how can you perform that exercise if you haven't identified every asset?

Richard Bejtlich said...

I hope everyone realizes that I am not advocating FISMA or C&A or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r broken .gov approaches when I mention "inventories."

Anonymous said...

noticebored,

Having inventories, meaning documented lists of things...is 'just' a documentation exercise.

I'm sorry, but I cannot agree with that.

As a responder, I've been called on-site to examine systems that could be located via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, but not physically within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server room. Nobody, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who administered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on a daily basis, knew where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were physically located.

I can't tell you how many times I've sat down with an image of a system and been asked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client's IT staff if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was any personal sensitive data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. That's right...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had no application inventory, and though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y knew that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a system someplace that processed credit card transactions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had no idea where it was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure.

From a business perspective, look at it this way...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT staff can run through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "documentation exercise" and limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects of an incident prior to calling in responders (who bill out at $300+ per hour) or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can sit back and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responders chew up hours doing it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an ongoing incident.

...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inventories are only helpful if management uses and makes sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw data.

Very true. I've been advocating more senior management focus on security in my blog.

Anonymous said...

Excellent list Richard! Add a few more mistakes and go into some detail and you'd have a pretty nice book. Speaking of which, can you say what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of your next book going to be?

Richard Bejtlich said...

Hi Adam,

Thanks for your comments. I have a few projects in mind.

The first is a second edition of Tao that incorporates Tao and Extrusion.

The second is a second Real Digital Forensics, but not a second edition -- an entirely new book.

The third is Hacking TCP/IP Illustrated, based on my TCP/IP Weapons School class.

The fourth is tentatively called Network Forensic Analysis, which would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network equivalent of Brian Carrier's File System Forensic Analysis book.

Anonymous said...

Wow. They all sound great, I'd happily buy any one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Try not to make us wait too long though, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wait for RDF and ED nearly killed me. :)

Anonymous said...

If peoples are good educated in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se security features, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n will be less problems!
Information security awareness triaining: www.infosecuritylab.com

Unknown said...

I guess I cannot easily fathom how inventories are a management function and that some places just don't do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. We don't, I admit, but it digs at me every single week and I hate it. Inventories, to me, are a fundamental concept that are required for my to function. Kind of like being presented with a complex problem and not having access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data or multiplication tables...you can only make stabs and guesses...

Anonymous said...
This comment has been removed by a blog administrator.