Friday, March 14, 2008

Reactions to Latest Schneier Thoughts on Security Industry

The March 2008 Information Security Magazine features an article titled Consolidation: Plague or Progress, where Bruce Schneier continues his Face-Off series with one of my Three Wise Men, Marcus Ranum. Marcus echoes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point I made in my review of Geekonomics concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merits of open source projects:

Most of us have had a product suddenly go extinct--to be followed shortly by a sales call from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor that fired cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fatal shot--in spite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that we depended on it and paid 20 percent annual maintenance...

To me, it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best argument for do-it-yourself or integrating open source technologies into your product choices. Remember: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big argument that's levied against open source is "Who is going to maintain it?" That argument stacks up pretty neatly against, "Is this product going to exist tomorrow?"


I liked that thought, but I became more interested in Bruce's counterpoint on security industry consolidation. This echoed what I reported last year in Response to Bruce Schneier Wired Story. This month Bruce says:

Honestly, no one wants to buy IT security. People want to buy whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want--connectivity, a Web presence, email, networked applications, whatever--and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want it to be secure. That cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're forced to spend money on IT security is an artifact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 youth of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer industry. And sooner or later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to buy security will disappear.

It will disappear because IT vendors are starting to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to provide security as part of whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're selling. It will disappear because organizations are starting to buy services instead of products, and demanding security as part of those services. It will disappear because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry will disappear as a consumer category, and will instead market to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT industry.

The critical driver here is outsourcing. Outsourcing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate consolidator, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer no longer cares about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details...

IT is infrastructure. Infrastructure is always outsourced. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure works are left to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that provide it.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of IT, and when that happens we're going to start to see a type of consolidation we haven't seen before. Instead of large security companies gobbling up small security companies, both large and small security companies will be gobbled up by non-security companies.


I think Bruce has nailed this argument. Now he is saying "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to buy security will disappear" not because "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT products we purchased [will be] secure out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box" -- what he said last year -- but because "IT is infrastructure. Infrastructure is always outsourced. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure works are left to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that provide it." This sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Does IT Matter? argument of a few years ago, and I think Nick Carr and Bruce Schneier are right here.

What does this mean for security professionals? I think it means we will end up working for more service providers (like Bruce with Counterpane at BT) and fewer "normal" companies. Bruce wrote "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry will disappear as a consumer category, and will instead market to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT industry," which means we security people will tend to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r work for those who provide IT goods and services or we will work for small specialized companies that cater to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT goods and services providers.

Bruce ends his article by saying

If I were Symantec and McAfee, I would be preparing myself for a buyer.

I think he is right again. These security companies will end up part of Cisco, Microsoft, Google, IBM, or a telecom. I doubt we will have large "security vendors" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

A subtle point not made in this article is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that security folks who work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO or CIO are probably going to stay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. I also think that smaller companies will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security staffs go, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest companies will always retain security staff -- if only to manage all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsourcing relationships.

11 comments:

Anonymous said...

I think Schneier is wrong. Don't lose sight of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Schneier has a dog in this fight - he owns a MSSP - so he's not exactly unbiased about outsourcing.

I think some aspects of security lend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to outsourcing - monitoring edge traffic, for example, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, such as asset management, configuration management and patch management, do not because you have to expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crown jewels to a third party. Not many are going to be eager to do that.

Outsourcing also comes with its own set of problems. The motivation of an outsourcer is to prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing a good job, so you tend to get alerts for things that are trivial and non-consequential.

When a security employee misbehaves, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisor is to get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem before it hurts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir career. When an outsourcer's employee misbehaves, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsourcer is to cover it up.

Anonymous said...

@Paul

I really don't understand your disagreement with Schneier. Is asset management, configuration and patch management managed by a security teams? No - or at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y shouldn't be. They are managed by whatever organization manages those assets.

Schneier's argument is simple - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for bolt on solutions to "secure" whatever you are trying to secure will disappear over time as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications you purchase come with those solutions already integrated within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Will that lessen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for security personal? Not at all but its amazing how defensive some people get over schneiers comments.

Ronald Bartels said...

Richard,
I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article hits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nail on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head. Some time ago I wrote about Infosec not being an island, http://thinkingproblemmanagement.blogspot.com/2008/03/information-security-is-no-island.html.
It is also my opinion that security companies are immature. If we apply Carr's analogy about an electrical utility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are still selling 5hp standalone home generators, instead of supplying utility power. They upset customers because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y slap cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back when a power blackout occurs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir little engines start up. They have missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point about mitigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blackouts and have misplaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts.

Unknown said...

Richard,

I like your reference to "Does IT Matter?", and in fact last year I prepared a talk on "Does IT Security Matter", adopting some of Carr's arguments to It Security. You xan find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk here

http://lukenotricks.blogspot.com/2008/01/does-it-security-matter.html

Richard Bejtlich said...

Hi Paul,

Notice what you said:

I think some aspects of security lend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to outsourcing - monitoring edge traffic, for example, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, such as asset management, configuration management and patch management, do not because you have to expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crown jewels to a third party.

When you outsource your IT infrastructure to a third party (Google Apps, whatever) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business doesn't care about those bolded items. They are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service provider's problem!

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crown jewels"? It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware and software.

Richard Bejtlich said...

Luke,

I really like your summary posted on your blog. I suggest those reading this thread at least read Luke's post and if you have time download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .ppt too.

Dan Weber said...

I think Schneier is wrong. Don't lose sight of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Schneier has a dog in this fight - he owns a MSSP - so he's not exactly unbiased about outsourcing.

It's not just limited to outsourcing. He also loves to talk about programmer liability. Can you imagine what would happen to his personal net worth if that happened? (I assume that he would lobby for some sort of exemption that would exclude cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boxes that Counterpane sold back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 90's, which were built on stock Redhat distros with stock vulnerabilities.)

If I were Symantec and McAfee, I would be preparing myself for a buyer.

The problem with Symantec and McAfee isn't that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're product companies. It's that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products are horrible.

Bruce Schneier is valuable to our industry since he able to get folks like Congress to listen to him. But don't think that he's any less susceptible to personal aggrandizement than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people.

Unknown said...

Richard,

I made that last post too early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning - I really can spell normally. It seems that quite a few bloggers and opinion makers are asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, in one form or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, "Does IT Security Matter?". The main points I made in my post and talk were

- There is a dependency between IT and IT Security but not a strategic relation

- IT and IT Security are good neighbours but not good friends

- IT Security is one area competing for attention and funding, amongst many

- If you don’t make IT security matter, it won’t

- Focus on securing business processes not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of securing

Michael Janke said...

I'm not seeing how 'cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to buy security' will disappear'. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument is that security will be embedded in products and services, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r insourced or outsourced, that doesn't mean that we are not buying security. It might mean that we will not buy security as a separate line item or budget cost center and account for it as a separate expense. But we are still paying for it.

In some sense, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 really small players (home, soho), some of this is already happening via ISP's who offer free anti-spam and anti-virus and/or a securely configured home router/wifi access point. This is effectively outsourcing part of your home desktop security to your ISP. Small businesses who outsource document management, payroll e-mail are already embedding security expenses into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsourcing contracts for those services, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know it or not.

And of course, one could postulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of software with embedded security, making current AV/firewall software obsolete, but presumably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of that enhanced software functionality will get added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software in some form.

Perhaps, in this scenario, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate in-house security function will be more like internal auditors, or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll be an office full of legal types who contract for services that exist to assure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporation that contracted services are delivered as contracted.

Richard Bejtlich said...

Michael Janke,

I agree with your assessment -- since nothing is "free," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer will still be paying. It will just not be a line item, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are various security choices like "response time" and so on.

Unknown said...

I'm still wondering if Bruce is correct, but will be incorrect in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term. Same with Carr.

I don't like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of IT as a utility like electricity. I think this works in a 25,000 feet view of IT, but once you get down to it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nuances of so many IT shops is disturbingly large. Will a service provider be able to accomodate all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home-grown crap that glues a company's information systems togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r? Will a service provider be able to move beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demarc and accept responsibility satisfactorily for an organization that gets pwned?

I'm skeptical how far this trend can go.

But I do think that's where it is going for now. IT depts are sick of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of security and making sure everything works when most employees really do see it like electricity, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on or off. Annual software costs, keeping up to date with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest threats, gluing disparate reports togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, swallowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jagged pill that a big suite of products presents, finding good staff....cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of an MSSP for security and even IT infrastructure really is compelling right now. MSSPs may be less concerned for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 welfare of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, but should be much more effective at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offer.

But I would question how long that can last. The closer you get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less like a utility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT service becomes. The data is unique, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems managing that data is almost as unique, and so on. Once you get far enough away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1s and 0s flying by, it does look more utility-like. Or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktops.

This might be why web services are still growing. They move a data-close application one more step away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data-distant desktop systems, taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility-like browser that is in every OS.