Monday, May 05, 2008

Traveling Wilbury Security

Sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 20-year-old song reference, but I couldn't help myself after seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in Greg Shipley's diagram from his recent InformationWeek security article. I like what he shows but I think it can be radically more simple.

The technology world can be boiled down to two camps: those who trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products to operate as expected and those who do not. You can guess into which camp I muster. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first camp is naive and detached from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world. (The real world is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place where intruders constantly violate assumptions, subvert logic, and make a mess of well-intentioned offerings.) The first camp spends more time talking about "enabling business" and "elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec conversation" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camp deals with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mess caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first world's ignorance of security problems.

Using this simple and intentionally provocative model I can propose two sets of lines. The first set could be labelled "compute" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second could be labelled "transport". You could call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "host" and "network" if you like.

If you are a first camp person, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute set is only one line -- that which computes. The transport line is also only one line -- that which transports (like a switch). This makes sense to me from a functionality (not security) standpoint. Anything of value ends up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "OS" or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "switch". This is happening right now.

If you are a second camp person, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute set is two lines -- that which computes, and that which verifies or at least observes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computation; call it a hypervisor or supervisor. The transport line is also two lines -- that which transports (again like a switch), and that which verifies or at least observes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transportation; call it a traffic intelligence system (to reuse terms mentioned in this blog).

This might sound suspiciously like trust but verify, i.e., trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer/switch but verify its operation. First campers trust, second campers trust when verified.

10 comments:

Anonymous said...

this remindes me of a conversation i had last week.
salesmen from two vendors presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir n-draft wifi-solutions.

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one seemed to focus higher on security.
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second advertised more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integration with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "enabling business" products.

while i would love to be able to make hardware/software disicions on a 'trust when verified' basis, i know i lack a whole lot of information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir production processes and attackers capabilities... so for me it still comes down to 'trust but verify'.
i try to compensate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deficits by pointing out to my ppl (as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salesperson) that its never an easy desicion and a main question should be/stay "how long is it going to take me till i recognize an intrusion (attempt) with this product?"

frankly i dont care weacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a salesperson advertises 'security features' or 'enabling business'.
i know i can only rely our own security strategy... and this also includes 'trust but verify' (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next decade).

Anonymous said...

This looks like yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r writer (Shipley) taking an extreme position on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 viability of a (number of) technologies in order to get press and links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir article. Congratulations Rich; you've helped him get a few additional readers. This is soapbox stuff. IMHO cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't anything really actionable in Shipley's work and your "camps" analogy isn't really a gem eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Anonymous said...

Although I agree with most of your comments I think you are misaligning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enabling business speak with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trust in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products camp. having a discussion about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of security to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business, and how it can be used to enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business to increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line (think new revenue streams through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of technology) doesn't mean that those same people sit around blissfully ignorant that products do not always (or rarely) work as advertised. Seemed like an inappropriate dig...

Anonymous said...

In just looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graph, and seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consolidation of multiple systems into smaller groups, how does this jive with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard enterprise recommendations.

A recent article on Enterprise Best Practices stated: "Employ ... multiple overlapping, and mutually supportive defensive systems to guard against single-point failures..."

So, which is it?

You can't consolidate technology and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n employ overlapping and mutually supportive systems.

Michael Dundas said...

Simple but succinctly put and true unfortunately.
-mike.

Anonymous said...

This sentence bugs me:

"The first camp spends more time talking about "enabling business" and "elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec conversation" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camp deals with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mess caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first world's ignorance of security problems."

I don't work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security industry." I work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world and where I work security is infrastructure (i.e. overhead.) A good security product/process needs to occupy both of Rich's "camps." Think of it this way, if you're totally in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first camp, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you're not really implementing security... you're planning it or just selling stuff. Being totally in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camp means that you're probably "disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business" and "lowering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec conversation"... neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of which will get your projects funded or convince cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business to comply with your controls. The dichotomy probably works for security vendors, but when infosec isn't a line-of-business, solutions need to span both camps to produce actual results.

Jimmycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365Geek said...

I get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 song reference.

Anonymous said...

very nice blog... Keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good work! God Bless!

Unknown said...

Just a point to note - why is SSL VPN and IPSEC VPN network technologies being phased out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall line? Yes most firewalls can do IPSEC and of late SSL VPN's but just because many features are becoming available in firewalls does not mean people are dropping dedicated devices. I am network security architect and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many senarios/designs where you do not want to be putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 load or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network location is wrong to be using a firewall for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se jobs. It goes against many 'best practise' modular designs to be inter-mingling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se functions. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram does not represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth

Unknown said...

Rich,

As opposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prior posters, I loved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title and am surprised to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference. Time to fire up iTunes.
I skipped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post though. :)

- Matt