Tuesday, May 29, 2007

Security Language

Gunnar Peterson's post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Common Attack Pattern Enumeration and Classification (CAPEC) project reminded me that MITRE is hosting a ton of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of frameworks. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are listed at measurablesecurity.mitre.org so I intend to refer to that portal from now on. It would be great to see related projects cooperate with MITRE's work. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web Application Security Consortium "Threat" Classification should be renamed to be an attack classification, consistent with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MITRE CAPEC enumeration. Similarly, it would be nice to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Web Application Security Project Top Ten speak in terms of "attacks" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "flaws."

Overall I would like to see some rigorous thought applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of security terms. For example, a recent SANS NewsBites said:

We are planning for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2007 Top20 Internet Security Threats report. If you have any experience with Top20 reports over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past six years, could you tell us whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you think an annual or semi-annual or quarterly summary report is necessary or valuable?

Is this anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r identity crisis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20 (as covered in my post Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Thoughts on SANS Top 20) or is someone saying "threat" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean "vulnerability," or...?

We need to have our terminology straight or we will continue to talk past each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

4 comments:

Anonymous said...

Richard,

Excellent post. I wholeheartedly agree. Precise language isn’t about picking nits, it’s about taking information security from folk art to science. You can’t have scientific progress if experts can’t speak to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with precision.

Peterson’s work looks interesting; I hadn’t seen it before. I am aware of two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r efforts aimed at increasing language precision; A Common Language for Computer Security Incidents and An Introduction to Factor Analysis of Information Risk.

Enjoy.

-Ryan Heffernan

Axelle said...

CAPEC is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re on http://measurablesecurity.mitre.org/ now (first column, third row).

Richard Bejtlich said...

Axelle, thanks, updated.

Anonymous said...

owasp top ten 2007 was just released and it is based on attacks instead of flaws. it's a similar model to mitre capec and wasc threat classifications. i'm glad to see sans doing this as well with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir top 20, which i heard is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan. correct me if i'm wrong.