Wednesday, December 27, 2006

How Many Spies?

This is a follow-up to Incorrect Insider Threat Perceptions. I think security managers are worrying too much about insider threats compared to outsider threats. Let's assume, however, that I wanted to spend some time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat problem. How would I handle it?

First, I would not seek vulnerability-centric solutions. I would not even really seek technological solutions. Instead, I would focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Insider threats are humans. They are parties with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability and intention to exploit a vulnerability in an asset. You absolutely cannot stop all insider threats with technical solutions. You can't even stop most insider threats with technical solutions.

You should focus on non-technical solutions. (Ok, step two is technical.)

  1. Personnel screening: Know who you are hiring. The more sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deeper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 check. The more sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for periodic reexamination of a person's threat likelihood. This is common for anyone with a federal security clearance, for example.

  2. Conduct legal monitoring: Make it clear to employees that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are subject to monitoring. The more sensitive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring. Web surfing, email, IM, etc. are subject to inspection and retention within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boundaries of applicable laws.

  3. Develop and publish security policies: Tell employees what is proper and improper. Let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penalties for breaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy. Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m resign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m annually.

  4. Discipline, fire, or prosecute offenders: Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an infraction, take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate action. Regulations without enforcement (cough - HIPAA - cough) are worthless.

  5. Deterrence: Tell employees all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above regularly. It is important for employees who might dance with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dark side to fully understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir misdeeds.


At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, you should wonder "how many spies?" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in your organization. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hurdles an insider threat must leap in order to carry out an attack and escape justice.

  • He must pass your background check, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by having a clean record or presenting an airtight fake record.

  • He must provide a false name and mailing address to frustrate attempts to catch him.

  • He must evade detecting by your internal audit systems.

  • He must have an escape plan to leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization and resurface elsewhere.


I could continue, but imagine those difficulties compared to a remote cyber intruder in Russia who conducts a successful client-side attack on your company? Now which attack is more likely -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsider?

7 comments:

Anonymous said...

(#3) ... Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m resign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m annually.

Excellent! That should cut down help-desk costs immensely!

Oh, re-sign? Ah!

This is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of automatic expiration (pioneered by Ranum). Proactive action is required to maintain access (or privilege). Lack of action results in garbage collection.

Anonymous said...

External attackers are basically fishing; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are looking for. Insiders do.


In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Verton book I referred to in your last post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Attorney General estimated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss due to inside attackers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US in 2004 was over $250 BILLION annually. I have read ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r estimates that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure is now approaching up to $400 BILLION annually.
Without internal controls, how does one know what losses are occuring?


Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se breaches are decidedly low-tech. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se figures are anywhere close to accurate, it would indicate that such losses are mostly hidden since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are few means to detect that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are occuring, or that current corporate management is so lame as to be basically incompetent with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir heads in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sand. In any case, I do not read anywhere that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss figures from external breaches are close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se amounts. Then again, corporations are loath to acknowledge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir stupidity and negligence anyway.

Unknown said...

As part of #2, basically something auditable as well. Data access should leave trails if it is technologically accomplished. Even presence can be audited with well-placed security cameras and electronic door locks.


I would bet that much like companies have no idea an attacker from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside has been accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir database from Oct 2005 until Nov 2006, that many orgs simply have no idea someone is coming in late at night and siphoning off a few files here and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, or using access to systems to host a few FTP accounts for some games for friends. Sadly, far too many orgs, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do find this stuff out, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r do nothing or do nothing more than waggle a finger and close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole by technological means and bury it under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rug.

Richard's #4 about enforcement is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weak points in my experience. It is easy when it comes to obvious criminal activities or porn-surfing at work, but anything except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obvious seems to baffle mgmt and hr.

Anonymous said...

With regards to Rob, you should check out this Miami Herald article: http://www.miami.com/mld/miamiherald/news/local/states/florida/counties/broward_county/16332102.htm

Basically, this lady (a convicted felon) got a job where she ended up working alone, at night, unsupervised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accounting section of a Broward County (think Ft. Lauderdale) Labor Agency. She cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n wrote over $2,400,000 worth of checks to herself.

Who caught her? The bank teller at her local branch office.

I do agree with you that external threats are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two when proper controls are in place.

Anonymous said...

Richard, you're right on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se threat management measures. However, I smell a hint of straw here. Insider threats can encompass everything from Stoopid User Tricks that let in external attackers, to grudge attacks, turf wars that escalate to security fights (yes, I've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m), larceny, and pr0n collecting. It isn't just about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of proprietary information.

Anonymous said...

yaa taa tas ir

Anonymous said...
This comment has been removed by a blog administrator.