Friday, September 28, 2007

Visibility, Visibility, Visibility

CIO Magazine's Fifth Annual Global State of Information Security features an image of a happy, tie-wearing corporate security person laying bricks to make a wall, while a dark-clad intruder with a crow bar violates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laws of physics by lifting up anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wall like it was made of fabric. That's a very apt reference to Soccer Goal Security, and I plan to discuss security physics in a future post. Right now I'd like to feature a few choice excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story:

Awareness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problematic nature of information security is approaching an all-time high. Out of every IT dollar spent, 15 cents goes to security. Security staff is being hired at an increasing rate. Surprisingly, however, enterprise security isn't improving...

Are you feeling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disquiet that comes from knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no reason why your company can't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next TJX? The angst of knowing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se modern plagues — cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se spam e-mails, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se bots, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rootkits — will keep coming at you no matter how much time and money you spend trying to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? The chill that comes from knowing how much you don't know...

You're undergoing a shift from a somewhat blissful ignorance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serious flaws in computer security to a largely depressing knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

"That next level of maturity has not been reached," says Mark Lobel, a principal with PWC's advisory services. "We have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology but still don't have our hands around what's important and what we should be monitoring and protecting.


Not everyone has shifted from "somewhat blissful ignorance" to "largely depressing knowledge" yet, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re eventually.

Five years ago, 36 percent of respondents to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Global State of Information Security" survey reported that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had suffered zero security incidents. This year, that number was down to 22 percent.

Does this mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are more incidents? We don't think so. We believe it simply means that more companies are aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've always suffered but into which, until recently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had no visibility. Those once inexplicable network outages are now known to be security incidents. Perhaps a spam outbreak wasn't considered a security incident before, but now that it can deliver malware, it is. Awareness is higher, and that's because companies have spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past five years building an infrastructure that creates visibility into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security posture.


That's right -- visibility. I love it.

This year marks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time "employees" beat out "hackers" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most likely source of a security incident. Executives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security field, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most visibility into incidents, were even more likely to name employees as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source.

Have employees suddenly turned more malicious? Are inside jobs suddenly more fashionable and productive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used to be? Probably not. Most security experts will tell you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat is relatively constant and is usually bigger than its victims suspect. None of us wants to think we've hired an untrustworthy person.

This spike in assigning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame for breaches and attacks to employees is probably more like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dip in companies that report zero incidents — a reflection of awareness, of managers' ability to recognize what was always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re but what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y couldn't previously determine.


I'd agree with that. I would also blame misreporting surfing pr0n sites and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like as "security incidents." CIO continues:

But here's an odd paradox: Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 massive buildup of people, process and technology during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past five years, and fewer people reporting zero incidents, 40 percent of respondents didn't know how many incidents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've suffered, up from 29 percent last year.

The rate of "Don't know" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of incident and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary method used to attack also spiked.

It doesn't bode well that after years of buying and installing systems and processes to improve security, close to half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents didn't have a clue as to what was going on in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own enterprises. But when close to a third of CSOs and CISOs, who presumably should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most insight into security incidents, said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know how many incidents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've suffered or how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se incidents occurred, that's even worse...

The truth is, systems, processes, tools, hardware and software, and even knowledge and understanding only get you so far. As [Ron] Woerner puts it, "When you gain visibility, you see that you can't see all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential problems. You see that maybe you were spending money securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong things. You see that a good employee with good intentions who wants to take work home can become a security incident when he loses his laptop or puts data on his home computer. There's so much out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, it's overwhelming."

Woerner and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security discipline has so far been skewed toward technology—firewalls, ID management, intrusion detection - instead of risk analysis and proactive intelligence gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring.


Check this out, too. Someone recognizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of Attacker 3.0:

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, even a cursory look at security trends demonstrates that adversaries, be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y disgruntled employees or hackers, have far more sophisticated tools than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones that have been put in place to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Antiforensics. Mass distribution of malware through compromised websites. Botnets. Keyloggers. Companies may have spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past five years building up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security infrastructure, but so have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys. Awareness includes a new level of understanding of how little you know about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys operate. As arms races go, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys are way ahead.

So what can we do about this? Say it isn't so:

What can be done about all this? Be strategic. Security investment must shift from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology-heavy, tactical operation it has been to date to an intelligence-centric, risk analysis and mitigation philosophy.

Information and security executives should, for example, be putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir dollars into industry information sharing. "Collaboration is key," says Woerner. They should invest in security research and technical staff that can capture and dissect malware, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should troll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet underground for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest trends and leads.
(emphasis added)

I would add that it's only appropriate to turn to advanced sources when you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security basics in place. It's no use trying to learn how to defend against attacker 2.0 or 3.0 if you can't handle 1.0.

There's more to say about this survey, but I'll save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest for a second post because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of it is so different from this one.

1 comment:

Anonymous said...

Lions and tigers and bears! Oh, my! Most organizations don't track any metrics (ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than stuff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can use to try and downsize/eliminate jobs) related to security. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 do track information, it usually isn't very measurable anyway...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y track poor metrics. They should try using Security Performance Manager from Clear Point Metrics; I know that GE uses it :-). If orgs. would actually track useful information, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 'woes' would disappear.