Friday, May 04, 2007

Response to Bruce Schneier Wired Story

In Do We Really Need a Security Industry? Bruce Schneier writes:

The primary reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT security industry exists is because IT products and services aren't naturally secure. If computers were already secure against viruses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wouldn't be any need for antivirus products. If bad network traffic couldn't be used to attack computers, no one would bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r buying a firewall. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no more buffer overflows, no one would have to buy products to protect against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir effects. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT products we purchased were secure out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box, we wouldn't have to spend billions every year making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m secure.

Bruce is right if you confine yourself to thinking that "secure" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as "zero vulnerabilities." This is one-dimensional thinking and correct as long as you stay within that one dimension. As I defined in The Tao of Network Security Monitoring, security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of maintaining an acceptable level of risk. I defined (using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common method) risk as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product of threat, vulnerability, and asset value, or R = T X V X A.

When thinking of security within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of risk (which is what Bruce should be doing), that means I could also say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • The primary reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT security industry exists is because IT products and services expose vulnerabilities.

  • The primary reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT security industry exists is because IT products and services are confronted by threats.

  • The primary reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT security industry exists is because IT products and services are valuable.


Therefore:

  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT products we purchased didn't expose vulnerabilities out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box, we wouldn't have to spend billions every year making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m secure.

  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT products we purchased weren't confronted by threats out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box, we wouldn't have to spend billions every year making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m secure.

  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT products we purchased weren't valuable out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box, we wouldn't have to spend billions every year making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m secure.


Reducing any one of those three components to zero would eliminate risk. Bruce sounds like he wants to work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation, but complete invulnerability is impossible. I prefer reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat component through deterrence, apprehension, prosecution, and incarceration, but that is also not completely achievable. Reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset value is probably not realistic. Therefore, risk always remains.

On a minor note, Bruce is also wrong strictly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability side. Because security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of maintaining an acceptable level of perceived risk, security is different for everyone. I may be willing to pay a lot more for what I consider to be a "secure" product or service compared to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r party. The vendor may not wish to devote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional resources to "security" (really vulnerability reduction) that I desire. Alternatively, I may need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product or service for compatibility reasons (think interfaces with customers or partners) but not trust that vendor (think Microsoft's integration of security into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS). In both cases, I can turn to a third party who works to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security" of that product or service.

Hence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry is born, and will continue to exist.

13 comments:

jbmoore said...

Bruce is trying to say that if many IT products weren't poorly designed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be fewer vulnerabilities. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem has to do with people's perceptions. Often, people prefer glitter and polish to functionality. Programmers spend 90% of effort on functionality and 10% on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface only to be confronted with customers who don't like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interface and don't like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product even though it may be superior to any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r product out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. The customer can only judge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product by what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see, not what is hidden without thorough testing and few procurement people thoroughly test software products. Joel Spolsky pointed this out as well. He noted that many people are superficial. The iPod looks cool, but you can't change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battery. The number two competitor to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iPod lets you change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battery and it has more functionality, but it looks drab compared to an iPod. SUVs look safer than cars, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mortality rate is twice as high as a car because SUVs are classified as trucks and have lower safety standards to begin with. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look safer because you are higher off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground and can see over traffic. That height means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are prone to rollover due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 higher center of gravity. It comes down to people not being educated about judging risks well and relying on flawed perceptions based on superficial appearances. VW advertises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cars based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir safety, but many car makers use sex to sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vehicles. Your equation shows this as well. The only known variable is value. Vulnerabilities and threats are unknown to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buyers and users, though maybe not to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who have to implement and support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

jbmoore said...

Spolsky's talk is here:
http://www.acm.uiuc.edu/conference/2006/video/UIUC-ACM-RP06-Spolsky.wmv

Anonymous said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are 2 key elements that were left out of Bruce's initial article and your response. And that is, what actually comprises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Industry?

If in fact we are stating that if completely secure products were on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no need for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Industry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we aren't really seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole picture. The Security Industry is very much integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product market, and thus is attempting to better secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products prior to release. So you technically can't have secure products without a Security Industry.

In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bulk of enterprise's security dollars are not going to products per se, but under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broad term of compliance. That means that even if you are "secure" and follow best practices, your still gonna have to comply with regulations and pay for 3rd party audits. Not only that, often times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se audits result in having to buy more hardware and hire more security folks. This would occur even in a dream world where no products had security vulnerabilities.

Anonymous said...

Schneier's question is not really "do we need a security industry?"

What he really asks is "do we need a security industry that is visible to anyone besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry's members?"

His answer is "no."

Everything else in his article, and in Bejtlich's analysis, obscures this.

Bejtlich should have focused on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not Schneier's answer to his actual, rhetorical question is correct, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red herring.

--
John Rodenbiker, CISA
jrodenbiker@rodenbiker.net


P.S. The captcha on this site doesn't seem to work in Opera 9.20 on XPSP2-- very annoying.

Anonymous said...

After furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r analysis of Schneier's column and Bejtrlich response, I don't think Bejtlich is disagreeing with Schneier's red herring (discussion of vulnerabilities in shipping technology) even though he wants to.

Schneier -- paraphrased -- says if technology shipped without vulnerabilities we could spend fewer resources reducing or mitigating those vulnerabilities after we acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology.

This is exactly what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation says should happen.

If you reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three components of risk, without raising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of risk is reduced.

I think everyone agrees that vulnerabilities shipped in technology are just a subset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of vulnerabilities and that reducing this subset to zero does not reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set to zero. I think everyone also agrees that even with this being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, trying to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of vulnerabilities shipped is a worthy effort and trying to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount to zero is a worthy ideal.

On a personal note, not being a member of a law enforcement agency I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability component is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority to be addressed.

The things I want protected have value and I want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value to increase.

Despite what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation implies, I believe threats are a function of vulnerabilities and assets. As long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a target and a means to hit that target threats will exist. I can't directly create laws and penalties to deter criminals, though I can lobby lawmakers. I'm not a law enforcement agency, so I can't investigate, arrest, presecute, or lock-up criminals.

That leaves vulnerabilities as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation I can affect directly in a manner that reduces risk. Schneier is totally justified in focusing on vulnerabilities in this article.

--
John Rodenbiker, CISA
jrodenbiker@rodenbiker.net


P.S. Captchas are still annoying, even when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work in Firefox.

Anonymous said...

@oledb,

Your statements re:compliance spending neglects to mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obvious.

Compliance is a sub-set of security and arose from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same lack of internal controls in systems and networks that drives IT security. Removal of software vulnerabilities reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of system compromise by authorized users and would reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree of auditing required to assure that financial statements that were being signed off on were an accurate reflection of corporate financial health.

There would also have to be additional internal control to prevent unauthorized use of data by authorized users. over and above clean code for os's and apps. Security is much more than anti-virus and patching.

Anonymous said...

@johnrodenbiker,

Vulnerablities may be reduced eventually but will never totally be eliminated without regulation or stiff penalties. We will only collect data that is value to us so we will always collect it in order to do business, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will always be a target.

That is why we have gone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different route of adding protective mechanisms at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel level of systems (and networks) to prevent threats due to vulnerabilties from being enabled, regardless of patch state. This effectively changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk model by reducing threat probability, even against previously unseen attacks.

Anonymous said...

Hi, Rob:

I don't think regulation and penalties are an effective way to address vulnerabilities. They are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to address threats -- along with apprehension and prosecution, as Mr. Bejtlich say.

Vulnerabilities ultimately stem from human error. That error is a fundamental part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human condition. No matter how much we all wish it to be, you can't regulate human error away. You can only build up systems that try to catch it and correct it before it is too late.

You can regulate that such systems are built, but that is as effective as jousting windmills. See Mr. Bejtlich's recent comments regarding FISMA.

I do agree with you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will always be targets with value and vulnerabilities. I tried to make that point in my earlier comments. That we have assets of value is assumed; if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets have no value we don't need to worry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security. Except in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplest of systems (I don't think such systems currently exist in any business environment) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be flaws that can be exploited.

When you prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of vulnerabilities, you are not directly reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat factor, but instead reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability factor.

This could lead into my critique of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation (basically, I think it's wrong but haven't yet spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to come up with something better) but I'll leave that for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day since this post is already too long.

Thanks for your comments, Rob.

--
John Rodenbiker, CISA
jrodenbiker@rodenbiker.net

Danny Lieberman said...

Guys

Richard pointed out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failings of Schneier's argument for not looking a t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire risk equation of

Asset Value X Threats x Vulnerabilities x Countermeasures

The compliance issue tends to cloud discussions like this but never forget that regulatory bodies like PCI are providing a fairly outmoded checklist that is just as irrelevant for every business as it is relevant for every business.

The important point is that we choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MOST COST-EFFECTIVE countermeasures to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation. Instead of buying a Web application firewall - it may be 1/3 cheaper to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bugs in your web app - and even if quality isnt free - at least you're not paying Symantec 20% a year for maintenance.

See my post at Guys

Richard pointed out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failings of Schneier's argument for not looking a t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire risk equation of

Asset Value X Threats x Vulnerabilities x Countermeasures

The compliance issue tends to cloud discussions like this but never forget that regulatory bodies like PCI are providing a fairly outmoded checklist that is just as irrelevant for every business as it is relevant for every business.

The important point is that we choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MOST COST-EFFECTIVE countermeasures to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation. Instead of buying a Web application firewall - it may be 1/3 cheaper to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bugs in your web app - and even if quality isnt free - at least you're not paying Symantec 20% a year for maintenance.

See my post at http://www.software.co.il/blog/2007/05/do_we_really_need_a_security_i_1.html
for a discussion why IT security cannot be solved by making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world a friendlier, more kinder place.

Cheers
Danny Lieberman

Anonymous said...

John,

The markets can punish by reduced sales, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re must be choices for consumers for this to happen. Dell adopting Linux is an example. Businesses not rushing to upgrade to Vista is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

It may be semantics, but our technology prevents privilege escalation. We are able to separate root user from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. We can give partial admin privileges to a service, just enough to run. A scan will still show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unpatched vulnerabilities. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting threats can not be enacted on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are fewer threats.

Anonymous said...

@rob lewis
Not sure why you believe I said Compliance was not apart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Industry. It most definitely is, and its cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part that I specifically said will be around regardless of vulnerabilities or not. And it will be due to legislation. I wasn't commenting on what drove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legislation.

If we were to discuss what drove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legislation, we could never really get a definitive answer. The obvious answer that you mention, was that insecurities drove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laws to be put in place. Thats pretty simplistic. What really drove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laws, were senator's and congressmen's desire to be re-elected by authoring a law cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could claim as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own.

Also, when you make statements like this "Security is much more than anti-virus and patching." you sound extremely condescending. I believe everybody that would read this blog knows this already.

Anonymous said...

@oledb,

My parallel sarcasm attempt was possibly clumsy and out-of-line. Compliance deals much more with least privilege, role separation and user provisioning than AV and patching. Even though I consider myself a security newby, I am constantly surprised at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poor understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se principles, or at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poor execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, by so-called security professionals. Widescale implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m would reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scale of compliance auditing necessary.

The bottom line driver for SOX compliance was that without it investor confidence would have evaporated, threatening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American economy. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that was done out of sense of duty or ego, I have no clue.

Anonymous said...

Richard,

You make an excellent point about security being defined as risk racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than vulnerability; however, should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation really be "threat X vulnerability X asset value", or should it be "threat X vulnerability X incident cost". They are two separate things, and I’d argue for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

The cost of an incident may not correspond directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset value. For example, if I have a breach of security, I may have to respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and hire a forensic investigator to determine what happened. It may turn out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker didn’t access any information assets (which would zero cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk by your calculation), but I still have to incur cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response and investigation, which might be substantial.

Likewise, I may purchase a database of customer information for 1 million dollars (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset value), but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer information is stolen in a breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legally-required breach announcement might cause my company's stock to drop in value by 5%, which might be billions of dollars (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident cost).

The point is that asset value and incident cost are two different things, and when it comes to measuring risk, incident cost is what really matters.

-Ryan Heffernan