Tuesday, July 24, 2007

Enterprise Visibility Architect

Last month in Security Application Instrumentation I wrote:

Right now you're [developers] being taught (hopefully) "secure coding." I would like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next innovation be security application instrumentation, where you devise your application to report not only performance and fault logging, but also security and compliance logging.

This is a forward-looking plea. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime, we are stuck with numerous platforms, operating systems, applications, and data (POAD) for which we have zero visibility.

I suggest that enterprises consider hiring or assigning a new role -- Enterprise Visibility Architect. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA is to identify visibility deficiencies in existing and future POAD and design solutions to instrument cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

What does this mean in real life? Here is an example. Let's say a company operates a FTP proxy for business use. Consider various stakeholders involved with that server and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of visibility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might want:

  • Data center managers want physical accountability for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. They also want to know how much power is consumed and how much heat is output.

  • Network administrators want to know how much bandwidth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server uses for OS and application updates. They also want to know how much bandwidth is used by data transfers and backup processes.

  • System administraors want to know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset is performing properly.

  • Users and asset owners want to know how much data is transferred (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are billed for this service).

  • Human resources administrators and legal want to know what files are transferred, potentially to identify fraud, waste, and abuse.

  • Auditors want to validate and asses secure configurations.

  • Security analysts want to resist, detect, and respond to incidents.

  • Forensic investigators want to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files transferred to investigate incidents.


These are all requirements that should be included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server before it is deployed. However, no one does all of this, and only a few organizations accomplish a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se items. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA is to ensure all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements are built into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements are not built into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design (as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with 95+% of all infrastructure, I would wager) it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA to work with concerned parties to introduce visibility through instrumentation. For example, how could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigators' concern be met?

  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy supports logging, enable it. (This is usually not done because of "performance concerns." If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resource were appropriately sized prior to deployment to account for visibility, this would not be a problem.)

  • Add a passive device to monitor traffic to and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy server. Application-aware monitoring tools like Bro's FTP Analyzer can record FTP control channel activities. (The resistance to this technique involves not wanting to configure a SPAN port, or lack of a SPAN port. I prefer taps, but inserting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap requires scheduling downtime -- anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sticking point.)

  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator only wants IP addresses for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoints, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n NetFlow could be enabled on a router through which traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP server passes. Note that NetFlow cannot be configured to only provide flow data for a specific port (like 21 TCP) so filtering would have to happen on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetFlow collector. Using NetFlow effectively requires building a NetFlow collector. (Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r concerns include loading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router, which could have been accounted for when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design for this business system was created.)

  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator only wants IP addresses for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoints, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a logging ACL could be enabled on a router through which traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP server passes. Hits on this ACL could be exported via Syslog. Using Syslog requires building a Syslog server. (This option will also add load to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router.)

  • Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture, intervening firewalls could also be configured to log connection details in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manner that NetFlow or router ACLs do.


I believe that logging integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FTP process) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best option when one is designing a new resource. When visibility is introduced after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset is deployed, instrumenting it becomes more difficult.

If you hadn't guessed, I am becoming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 de facto EVA in my job as director of incident response because I need data to detect and respond to incidents. However, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stakeholders are natural allies because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to know more about various assets.

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I want to believe generator for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image above.

7 comments:

dre said...

They're called "NMS Tools Developers" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually require experience with Cisco MIB's, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts of Cisco configurations that have nothing to do with routing/switching/voice, Nagios, SEC, RRDTool, XHTML, Javascript, at least one scripting language (usually Perl or Python), MySQL, Syslog, and SNMP.

They used to be called "Openview" or "Tivoli" or "Netcool" consultants, also known by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir better sounding name, `system integrators'.

Speaking of which, Opsware just got bought by HP.

Richard Bejtlich said...

dre,

That's traditional NMS, and I'm aware of that -- but it's only part of my concern. Traditional NMS is basically performance and fault management, which is definitely important but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as what I'm describing. It's also not system integration because just about all system integrators completely ignore what I'm discussing, aside from being able to "ping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box," i.e., "I can ping it -- it's good!" Ouch.

Anonymous said...

I thought this "oversight" fell within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jurisdiction and domain of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise Architect. Building "visibility" in is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing as building "security" in...

Why do we need yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r TOAD fragmenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 POAD? ;)

The acronym soup associated with creating new titles to backfill for people who are just not doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job seems to me to be treating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 symptom and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

My $0.02...

/Hoff

Richard Bejtlich said...

Hi Hoff,

I thought of that too. You could say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be no security people because security should be integrated. It's certainly not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for legacy services and it's still not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for future services. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, most people think security == prevention, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think nothing bad will happen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir app. That is why you will never hear me say "prevention" again -- I say "resistance" because prevention eventually fails.

Incidentally I would be happy if all of this were integrated but it's clearly not. :(

Anonymous said...

Fair enough.

It's a sad indictment as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of affairs, but just look at what this fragmentation is doing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security & "risk management" space. We have:

CSO - Chief Security Officer
CISO - Chief InfoSec Officer
CPO - Chief Privacy Officer
CRO - Chief Risk Officer
CRO - Chief Reputation Officer
CSS - Chief Security Strategist
CSA - Chief Security Architect
CSE - Chief Security Evangelist

...dem's a lot of Chiefs! How many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se functions overlap to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of diminishing value where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of eyes on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem yields negligible return since accountability becomes so distracted.

I suppose we're really stating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem but from different perspectives; I think we should hold existing Enterprise Architects responsible and you think we should create a new position.

'round and 'round we go?

Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, I agree, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem needs to be solved.

/Hoff

P.S. See you in a couple of days @ Weapons School in Vegas...

C.S.Lee said...

Blame no clear definition of each role ;)

Anonymous said...
This comment has been removed by a blog administrator.