Friday, September 21, 2007

Pescatore on Security Trends

The article Spend less on IT security, says Gartner caught my attention. Comments are inline, and my apologies if Mr. Pescatore was misquoted.

Organisations should aim to spend less of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IT budgets on security, Gartner vice-president John Pescatore told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst firm’s London IT Security Summit on 17 September.

In a keynote speech, he said that retailers typically spend 1.5% of revenue trying to prevent crime, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n still lose a furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1.5% through shoplifting and staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, costing 3% in total.


Digital security is not comparable to shoplifting. It is not feasible for shoplifters to steal every asset from an a company in a matter of seconds, or subtly alter all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets so as to render cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m untrustworthy or even dangerous. I would also hardly consider shoplifters an "intelligent adversary."

But Gartner’s research suggests that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average organisation spends 5% of its IT budget on security, even with disaster recovery and business continuity work excluded, and IT managers are tired of requests for more. Security has dropped from first (in 2005) to sixth (in 2007) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm’s annual survey of chief information officers’ technical concerns.

I concur with this, especially with regard to IPS and SIM/SEM/SIEM. Managers spent a lot of money several years ago on this technology and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are "still getting hacked."

Pescatore said that managers are not impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claim that “security is a journey” without a destination. “Can you imagine, ‘profit is a journey’?” he asked, pointing out that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas of IT are often able to offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organisations more functionality for less money, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r kind of business benefit.

This could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single greatest problem I see in this whole article. Please tell me how profit is not a journey, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of your company is to 1) enjoy a really awesome quarter (or year, etc.) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n disappear; or 2) dash for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition line and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cash out. The operative word in business is not profit but profitability. A stock price reflects future value. Turning strictly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security aspect, I'd like to hear Mr. Pescatore or his upset managers describe when security can end. This statement is clearly troubling.

Growing efficiencies could be possible for IT security too: “I really don’t think most of us need more and people,” he said, if organisations moved to a model he called ‘Security 3.0’. In this, IT security would anticipate threats, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hit.

This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r poor statement. As I wrote in Attacker 3.0, security is at 1.0 (and that's being generous) while we approach Web 2.0 and fight Attacker 3.0. No one is ahead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat and no one could ever be. Advanced attackers are digital innovators. By definition cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot be anticipated.

Pescatore said ways to prevent problems racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m include buying and building secure systems, which means considering security during procurement and development, and rejecting products which are not adequately protected. This might mean spending more initially, but prevention is cheaper than cure.

This is all true and sounds nice, but it has never worked and will never work. Everyone is so excited to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government finally working with Microsoft to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system, but at this point who really cares? It's all about applications now.

In response to a question, Pescatore dismissed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that insider threats are growing: he believes that attacks generated by malicious insiders are stable at 20-25%. Half come from mistakes made by insiders, while around 30% of attacks are made solely by outsiders, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of whom are cybercriminals.

I love to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat fans squashed.

Let's hear anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r view on this speech from Security to drop out of CIO spending top ten:

Security pros need to get more proactive about dealing with threats and adopt strategies to persuade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir colleagues to take on security spending as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir projects, according to analysts Gartner.

The changes in roles for security specialists come as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet security market enters what Gartner described as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third major stage of its development.

Always a sector of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry that relishes one-upmanship, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web 2.0 phenomenon is accompanied by Security 3.0. The first stage of security, according to Gartner, belongs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of centralised planning and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainframe. The widespread use of personal computers ushered in reactive security to deal with threats such as malicious computer hackers and worms (security 2.0). Security 3.0 is characterised by an era of more proactive security, according to John Pescatore, a VP and distinguished analyst at Gartner.

Security 3.0 involves an approach to risk management that applies security resources appropriately to meet business objectives. Instead of bolting security on as an afterthought, Security 3.0 integrates compliance, risk assessment and business continuity into every process and application.

For security managers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process involves persuading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir counterparts in, for example, application development to include security functions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir projects. In this way security expenditure in real terms can go up even as security budgets (as such) stay flat or modestly increase. Security budgets freed from firefighting problems can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be invested with a view to managing future risks.

"Even a reduced security budget does not necessarily mean reducing security-related spending," Pescatore said. "Security professionals need to think in terms of changing who pays for security controls," so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can "move upstream" and spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir time and resources on more demanding projects, he added.


Now this makes sense to me. I do not understand why security as it relates to applications should be treated separately from those applications. Security should be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r consideration that is built into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, along with performance and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r features. Security as an operational discipline doesn't need to be integrated into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r businesses, but including security natively in projects is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way forward.

Gartner predicts that security spending will rise 9.3 per cent in 2007, but will drop out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first ten spending priorities for CIOs for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prolific internet worms of 2003. Malware threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days have evolved into targeted attacks featuring malware payloads designed not to draw attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

This "run silent, run deep" malware means that security is a less high-profile function than before, as improving business processes and reducing costs become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pre-eminent priorities for IT directors.


This is true and it is killing us. Security got plenty of attention when managers could see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky was falling. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir boss' email was inaccessible or filled with spam and malware, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y couldn't surf cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir pipe was filled by DoS traffic, security failures couldn't be ignored. Now enterprises are silently and completely owned, and no one cares.

Finally, a few more thoughts from Managing IT risk in unchartered waters of "Security 3.0":

Gartner research suggests that throwing money a security is not working. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no correlation between security spending and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security level of a system. The firm added that progress in security should see a reduction in security spending, not increase it.

I agree with this. The reasons are complex, but a major problem is that managers have no idea if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply makes any difference in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security posture. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y measure at all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y measure inputs of questionable value and ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output. However, I don't see how Gartner can say that success in security means spending falls. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "war on drugs" where a raise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 price of a drug means interdiction could be restricting supply. Security spending is determined by management; it is not an output of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security process.

Overall, it must have been an interesting speech! I fear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall take-away for managers will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "spend less on security" and "employ fewer people" headlines. That may be appropriate if you know how spending and manpower affects security outputs, but that is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. I believe management is spending plenty of money on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong tools and potentially people, and directing resources to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r functions would be more effective.

6 comments:

Anonymous said...

"Now enterprises are silently and completely owned, and no one cares."

As someone who lives in a network with this exact problem, it is just a world of despair. I sit here thinking to myself:

Humpty Dumpty sat on a wall.
Humpty Dumpty had a great fall.
All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 king's horses and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 king's men
Couldn't put Humpty togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r again.

It has gone to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of reporting viruses is a administrative punishable offense because we are fully protected by mcafee's full network security.

Anonymous said...

I'm surprised when you write:

"Everyone is so excited to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government finally working with Microsoft to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system, but at this point who really cares? It's all about applications now."

According to NSA, we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se problems at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application level because we have insecure operating systems:

"Current security efforts suffer from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flawd assumption that adequate security can be provided in applications with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing security mechanisms of mainstream operating systems."

See:

"The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments"

http://www.nsa.gov/selinux/papers/inevitability.pdf

Richard Bejtlich said...

Rob, that paper was written in 1998.

http://csrc.nist.gov/nissc/1998/proceedings/paperF1.pdf

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world has changed a little bit since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.

Anonymous said...

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arguments in that paper were valid in 1998, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes required to heed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m were not realized in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time since, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y no longer valid?

This paper does not say that any one solution will fix everything, but what it does say is that o/s level security must complement app level security or else application level security will likely fail.

I think you and John Pescatore both say in this post that throwing more money at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is not working. Why is that so? Could it be that o/s level security is still being ignored and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of this paper are right?

There are many kinds of malware that must go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system to function, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "run silent, run deep" kind, that lead to enterprises being "silently and completely owned, and no one cares".

Of course those enterprises might not get owned if better protective mechanisms at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system prevent rooting of those boxes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place.

Anonymous said...

Hmm.. wasn't Pescatore recently removed from Gartner's Security group?

Anonymous said...

John Pescatore was known for his moments of foot in mouth even back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Information System days. Why Gartner took him on remains a mystery to some.