Saturday, December 15, 2007

Feds Plan to Reduce, Then Monitor

According to OMB directs agencies to close off most Internet links, by June 2008 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government plans to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Internet connections it maintains, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m more closely:

The Office of Management and Budget's Trusted Internet Connections (TIC) initiative likely is to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last publicized program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bush administration's stepped-up focus on cybersecurity, some experts say. More importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new initiative requires agencies to implement real-time gateway monitoring, which has been a deficit in federal network protection.

The TIC initiative mandates that officials develop plans for limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Internet connections into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir departments and agencies. OMB officials want to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more than 1,000 to about 50, said Karen Evans, OMB's administrator for e-government and information technology.
(emphasis added)

This sounds promising. The story continues:

The initiative also asks chief information officers to develop a plan of action and milestones for participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Homeland Security Department's U.S. Computer Emergency Readiness Team's Einstein initiative. The program offers agencies real-time gateway monitoring capabilities and helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m react more quickly to security incidents. About 13 agencies voluntarily participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein program.

"The reduction of access points to trusted Internet connections will improve our situational awareness and allow us to address potential threats in an expedited and efficient manner," Evans said. "While we optimize and improve our security, it is also our goal to minimize overall operating costs for services through economies of scale."


Reduction of gateways + enhanced monitoring = better, stronger, faster -- and cheaper.

The story With Internet gateways, less is more adds:

A June deadline for agencies to consolidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Internet connections coincides with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OMB deadline. June is also when agencies must upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backbone networks to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next-generation Internet protocol, IPv6...

“The [TIC] initiative is saying, ‘We have to know what we own in order to protect it,’ ” Evans said. “We also must know we are managing risk at an acceptable level.”

Evans said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government has more than 1,000 gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public Internet.

The target number is 50, but that is not an absolute number, she said. “We know 1,000 or more is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to do it. At a minimum, 50 is two per department.”

Fifty gateways is a reasonable number, Evans said, adding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department has reduced its Internet gateway count to 18. The Homeland Security Department expects to have only two Internet gateways after it completes its OneNet initiative.

“The 50 or so points of presence [would] become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government,” Evans said.
(emphasis added)

Kudos to Karen Evans. I am hopeful that someone who realizes FISMA Is a Joke has begun steering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government away from worthless documentation and towards real network security operations.

10 comments:

Anonymous said...

I'm skeptical about this aspect:
"better, stronger, faster -- and cheaper."

If we've learned anything in engineering and design it's that you can only pick any two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three qualities: good, fast and cheap :]

Richard Bejtlich said...

Isam, check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link. This is partly a joke.

DanPhilpott said...

50 internet gateways is going to be great. Because redundancy is totally overrated.

I know that fewer gateways is a wonderful idea in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory. Fewer points of access to attack for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys. Easier to manage and monitor access for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys. 50 internet gateways would be perfectly reasonable for any well engineered, centrally managed network infrastructure.

But are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government's networks eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r centrally managed or well engineered? Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD share bandwidth with HUD? Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data traffic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Government generates daily it's going to be interesting to see how a successful implementation can be engineered. What happens if some DDoS script kiddies get it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir heads to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se bottlenecks? What happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an emergency and internet traffic spikes? (What happens if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decide FISMA is a joke and don't go through a well thought out process to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities?) With 50 internet connections spread over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad federal agencies I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of spectacular failures in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Only time will tell, but I doubt it will take much time.

Richard Bejtlich said...

So make it 100. The problem is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government, in all its agencies' glory, is already suffering "spectacular failures."

I heard a colonel at a briefing say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Digital Pearl Harbor" had already happened. The difference between now and 66 years ago is it's easier to hide a digital Pearl Harbor.

DanPhilpott said...

If you can hide a "Digital Pearl Harbor" ... is it really a "Digital Pearl Harbor"?

And I'd agree, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is regularly suffering spectacular failures. The question here is one of scale. A spectacular failure affecting internet connectivity for 2,000 employees is spectacular. A spectacular failure affecting internet connectivity for 200,000 employees and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public customers of that agency is above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fold, front page of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Post followed by Congressional inquiries spectacular.

I'm not disputing that a reduction of internet connections to a manageable level is a good thing. It can mean better perimeter control and improved security. In a centrally managed organization with strong security leadership it can lead to gains in real security. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scale of this reduction is ludicrous. Redundancy is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest issue but certainly not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one.

Imagine you are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who implements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall on that link, who are your customers? Everyone in that agency. So how many exceptions are you required to make? Lots. What is your firewall now? Swiss cheese. As a security guy I'd love to say "No, we can't make those exceptions." but in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world business requirements trump security directives. Defense in Depth is, of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer here but that begs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question: What was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security gain from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reduction in internet connections?

Anonymous said...

I think I agree with Daniel, but time will ultimately tell. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues aside from redundancy is who gets to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links for which agencies.

Daniel asked, "But are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government's networks eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r centrally managed or well engineered?" The answer is that it depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency. Some agencies may well benefit from letting a more experienced entity take over network management, while some may have to cede control to less experienced or less capable entities. Unfortunately, I doubt that will be part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decide who manages what.

Anonymous said...

Hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have real analysts watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateways. Having worked in DoD as a contractor I can tell you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cut and paste monkeys most contractors hire are useless. They put up Snort sensors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n literally cut and paste cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort alert into a trouble ticket and send it to you. One packet out of context and expect you to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do real NSM and look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire transaction cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it might be worthwhile. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire transaction cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server sent a "404 File Not found" in response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request Snort alerted on as a web request for "cmd.exe".

Monitoring without intelligence and analysis is useless. In order to do analysis, analysts need data and tools to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. Hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir monitoring will include full packet capture.

Though I suspect monitoring will be having a bake off and awarding a contract to a single vendor for some "Silver Bullet" monitoring tool. Then award a contract to a single vendor to supply CISSP's to monitor that tool. See it is all about "better, faster & cheaper". As a previous poster noted you can have it good, fast or cheap; pick any two.

DanPhilpott said...

In reference to my "eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r centrally managed or well engineered?" comment. I was thinking more in terms of central management/engineering covering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government as opposed to individual agency implementations. I meant that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir were a single 'Government Network' cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n 50 internet connections could provide sufficient redundancy and a well engineered solution. But when each agency has one or two central connections and has to distribute that traffic internally to a national customer base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of 'spectacular failure' increases. I'm sure some agencies have excellent internal network organizations, but structurally this topology concerns me.

Anonymous said...
This comment has been removed by a blog administrator.
LAjaye said...

This is all very interesting, and I'm sure that it will work, at some scale. How that all works out will remain to be seen.

As a current government employee, I can tell you that when something like this does happen (I have no doubt that it will), it will be worse than things are now. Why do I say this?

FACT: I tried to send a travel voucher to DFAS last year. There were three ways to get it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. One was to email it, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r was to fax it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third was to actually snail mail it. In this day and age, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no way that I was going to mail that stack of papers with all of my information on it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. So that effectively left two ways to get it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Both of those ways were basically (unbeknown to most)cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fax machine was tied in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email servers. Guess what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were having problems with... yep, you guess it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email servers. So basically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no way of getting this information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m electronically. But wait a minute... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problem. Guess who managed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network? Well, it wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, that's for sure. So when I emailed my digitally scanned documentation in pdf format, guess what was being blocked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network admins? Yep, you guessed it, pdf files!

Ok, maybe this whole thing is a little lengthy, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that I'm trying to make is this. The agencies don't play well togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, let alone communicate. So if anything is going to be done to force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies to interoperate togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nicely, I would recommend that before that is attempted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be some sort of agreement in place between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be someone with grade kahonas on both sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fence to make things happen and hold people accountable! Until this happens, and it isn't happening yet, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no way to make something like this work that remains fundamentally broken.

Well, that's my 2 cents. Thanks for listening.