Tuesday, July 29, 2008

Counterintelligence: Worse than Security?

As a former Air Force intelligence officer, I'm very interested in counterintelligence. I've written about counterintelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber-threat before. I'm reading a book about counterintelligence failures, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following occurred to me. It is seldom in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-interest of any single individual, department, or agency to identify homegrown spies. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, hardly anyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA wants to find a Russian spy working at Langley. If you disagree, examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of any agency suffering similar breaches. It isn't pretty; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which people deny reality and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n seek to cover it up is incredible.

In some ways this make sense. Nothing good comes from identifying a spy, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than (hopefully) a damage assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spy's impact. Overall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country can be incredibly damaged, never mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lives lost or harmed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spy's actions. However, in case after case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appeal to higher national security interests is frequently buried.

Reading this book, it also occurred to me that security has exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem. Spies are worse in most respects, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be equated to insider threats. However, just as with spies, in security it is seldom in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-interest of any single individual, department, or agency to identify compromises. Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that an intruder is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrator, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim is often blamed for security breaches. The word "security failure" demonstrates that something bad has happened, so it must be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT and security groups. (Imagine if a mugging was called a "personal security failure.")

Because of this reality, it seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se self-interests is to task a central group, organizationally detached from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual agencies, with identifying security breaches. In CI, this should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive (NCIX), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Director of National Intelligence appears to have neutered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NCIX. In digital security, a headquarters-level group should independently assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of its constituents. These central groups must have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support of top management, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be ineffective.

Update: Fixed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "seldom" problem!

9 comments:

Anonymous said...

I haven't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gertz book yet, but your point is dead on. My facá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r was an integral part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 espionage cases of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80s and 90s and he would often complain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA, State Dept., whoever, would suggest that everybody just go back to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were doing before as if nothing had happened. I run into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same resistence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network admin field. For some people, it's almost a reflex.

Anonymous said...

I think you meant to say "it is seldom in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest".

It's like self-reporting tip income. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregate social good is greater when income is truthfully reported and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper tax revenue, but it is seldom (if ever) in an individual taxpayer's interest to truthfully report cash income.

Anonymous said...

What I know about counter intelligence I learned from movies so I could be way off base - but if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spy can't you try to flip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in to a double agent? So some benefit could come from finding a spy.

Edouard said...

it's not only applicable to security. in every social group i met, unless forced to, people wouldn't reveal what could be considered as a failure by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peers or/and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hierarchical leaders. this is all a matter of perceived consequences from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals and group as an entity. (where consequences may be loss of esteem, be it self or social, financial or judiciary sanction or whatever you may think of)


what we need to change, as security professionals, trainers and managers is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception itself. being compromised, is not a failur of our capacity to defend assets. it's a success of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's (and i understand attacker here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest sense, be it a human or non human threat agent) one to outsmart, bypass, break or whatever we call it our measures.

calling a compromission a failure, is considering that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole set of measure we took as nil. which couldn't be more false. we are actively, and successfully thwarting off countless numbers of security threats each day, it proves that we are indeed relatively successful in our mission. but this one attack, yes, we got caught. be it a smart cracker, be it a nice new suppa duppa polymorphic worm, be it an intelligence professional, he played better this time.

now, and this is IMHO where you can see true professionals at work, ok we got screwed, nice one, now we need to neutralize residual threat, assess damage done, and take whatever measures appropriate 1 : to mitigate damage (be it rolling back to backups or a PR campaign) and 2 : ensure we don't get screwed that way next time (tightening ISM or recruit an overly large security guard to look for tailgaters) and ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper retaliatory measures are taken.

does anything here looks like a failure ? i am not talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper case handling, which was intentionally overly general, but only of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event itself

not IHMO.

Unknown said...

Interesting observation! I think a lot to do with security can and maybe should be separated into detached groups that don't have such self-interest in ignoring security or breaches. Protection is a cost...discovery is a cost...remediation is a cost... Ugh.

In a way, we can partially blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not following best practices or being incompetent. I mean, it can be somewhat my fault if I decide to walk in a shady neighborhood with my ipod hanging out and texting on my new iphone while also looking vulnerable. Granted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mugger still is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real target for punishment, but I really should also watch my ass.

Anonymous said...

speaking of enemies... i have no enemies. hehe

Anonymous said...

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are political ramifications for identifying a breach, this creates a need for counter-espionage technology.

Anonymous said...

I saw Ron Olieve (SA Ret.) give his talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI capture of Jonathan Pollard. Catch it if you can. He would disagree with you in no point here. Pollard walked out of DIA with suitcases (not brief cases) of TS/SCI and Code Word material. No one ever asked why someone with his tasking was getting room fulls (no lie) of material about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 midEast.

Anonymous said...

This is an excellent point, but is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only reason that CI must be both independent and centrally managed. Among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, developing a complete picture of competing intelligence activities and, more importantly, developing comprehensive programs to thwart or exploit those activities requires central management. Alas, it will never, ever happen that way here, and we will be worse off for it.