Thursday, May 10, 2007

Vulnerability-Centric Security

The vehicle pictured at left is a Mine Resistant Ambush Protected vehicle, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Army's replacement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hummvee. I read about this vehicle in Army Times. That article said:

At a meeting to be held this week, according to a Pentagon source who spoke on condition of anonymity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army’s leadership is expected to request $9 billion for 9,000 MRAPs to be fielded through fiscal year 2008, with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 8,700 for fiscal 2009.

That's $1 million per vehicle.

I have a sinking feeling that although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new vehicle is "Mine Resistant," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Ambush Protected" part will be tested by unpredictable, creative adversaries.

What does this teach us about digital security?

Frequently I hear people refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "if cars were like Windows" analogy. Let's take a look at cars and PCs, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP is really just a fancy car.

  1. A car that doesn't start may be like a PC that doesn't boot. It could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner, depending on maintenance, etc. If it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer's fault, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  2. A car that behaves erratically or in an unsafe manner while being driven may be like a PC that behaves erratically or crashes. It could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner, depending on maintenance, etc. If it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer's fault, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  3. A car that gets hit by a boulder dropped from a bridge may be like a PC that is attacked by an exploit. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver or PC operator -- it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat dropping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boulder and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder launching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit. (Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC is not patched, it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's "fault." If you can't accept that, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC fully patched and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability a zero-day.)


In cases 1 and 2, we could hold eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances. In case 3, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is responsible.

Unfortunately, few owners are in a position to do anything about threats. If we take a vulnerability-centric approach, we end up driving vehicles like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP and building layers of security around PCs (anti-virus, network firewalls, etc.) In both cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mitigation is costly and ultimately ineffective, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat remains free to devise new and ingenious ways to inflict his will against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.

Thinking we can build "invulnerable" vehicles like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP is like Bruce Schneier thinking we can build invulnerable software. Sure, you can make more attack-resistant vehicles and software, but for what cost? Ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat must be directly addressed. No one thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to peace in Iraq is by giving every Iraqi a bunker in which to live and a MRAP to drive. Why do people think we can do that with software?

8 comments:

Unknown said...

Of course, like you said, most owners can't really do anything about threats, which tend to be external to us (let's ignore insider threats for a moment since I'm kinda abusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "external"). Therefore, security is outside of our control? I don't think anyone likes that, and I'm not sure our social system can handle that. (Then again, so many frivolous lawsuits since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 McDonald's hot coffee spill incident means lots of people are blaming lots of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ills...)

I'm not sure I buy into a threat-centric approach simply because that can be so easy to just say, "blame it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ats!"

Not that I'm saying that's your approach or that I spit on threat-centric. I prefer a blend of various approaches.

Anonymous said...

I find it ironic that you bring up iraq as your example.

Directly addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (perceived) threat has wasted more lives, money, and resources than just fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability at home while not making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset (US) one bit safer.

Anonymous said...

Some of us remember a time when vehicles would break down every five minutes. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Japanese came along and build more reliable cars at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same (or lower) cost to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumer. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same can happen to software.

As far as eliminating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat (arresting someone on a bridge with a bolder, etc), due to a global economy and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reachability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet I think we need to come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realization that this type of enforcement is very difficult in a cyber environment.

Richard Bejtlich said...

LonerVamp,

I didn't say we should only do threat-centric security and ignore vulnerability-centric security. You won't find me running exposed, unnecessary, unpatched services waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police to deter or capture threats. However, too many people equate "security" with "vulnerability-centric security." That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of this post.

Anonymous,

This is not a political blog. I brought up Iraq because it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP is being deployed. If I could have discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP without Iraq I would have done so.

As for "fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability at home," you actually make my point. Please tell me how you would comprehensively "fix" vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where a threat-centric approach wouldn't be needed? Just make me a list of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities to be fixed. You don't even need to explain countermeasures. I'll check back in 50 years to see how much progress you've made. :)

Anonymous said...

Richard, poor Richard...Please stick to things you know about.

I would assume you've spent years in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches learning about Information Technology and Security as far as systems are concerned. But I think you have little to no understanding of Mine Protected vehicles and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 men and women who are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'real' trenches.

So far, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cougar and Buffalo (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two MRAP's that have been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater for over two years) which are manufactured by Force Protection, Inc. in Ladson, SC have encountered over 2,000 IED's and have logged over 2,000,000 combat hours without a single fatality.

Now that is something, given that on average 2 lives are lost every time a Humvee encounters an IED.

As for you statement that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are $1,000,000 each, this is incorrect. The CAT I MRAP which is a 4x4 Cougar goes for a little over $500,000 each. The CAT II is a 6x6 Cougar and is about 10% more.

The CAT III, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Buffalo goes for close to a million, but it is in a class all it's own.

So lets see, a fully up-armored Humvee goes for about $350,000 and we average two deaths per IED encounter, or we spend $150,000 more and have no deaths....Not a hard one to figure.

No one said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are indestructible, but just like best business practices mandate firewalls, anti-virus and IDS, you would be a fool for trusting your war-fighting systems (we call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m Soldiers, Sailors, Marines and Airmen) to anything less.

The best offense is a good defense. These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best available.

Mr. Zippy

Richard Bejtlich said...

Second Anonymous,

You missed my point entirely. You are talking about cases 1 and 2. Lousy cars from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Big Three in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s and 1980s weren't failing because aggressors were shooting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engines. Security involves intelligent adversaries whereas reliability is a superset that includes problems of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type you describe.

Richard Bejtlich said...

Mr Zippy,

Give me a break. Did I even imply that I do not want our soldiers protected? I have friends in Iraq, Afghanistan, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places too.

As far as "The best offense is a good defense." goes, try that out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlefields of history. Start by checking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Maginot Line and see how far that takes you. There's a reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adage is "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best defense is a good offense."

Richard Bejtlich said...

Regarding costs -- if I buy 9000 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se for $9 bil, that's $1 mil per vehicle on average. I don't care if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y "cost" $650k each -- I'm still paying $1 mil each on average.