Tuesday, October 28, 2008

Unify Against Threats

At my keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 SANS Forensics and IR Summit I emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for a change in thinking among security practitioners. To often security and IT groups have trouble relating to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stakeholders in an organization because we focus on vulnerabilities. Vulnerabilities are inherently technical, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean nothing to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who might also care about security risks, like human resources, physical security, audit staff, legal staff, management, business intelligence, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following slide to make my point:



My point is that security people should stop framing our problems in terms of vulnerabilities or exploits when speaking with anyone outside our sphere of influence. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we should talk in terms of threats. This focuses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 who and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 what or how. This requires a different mindset and a different data set.

The business should create a strategy for dealing with threats, not with vulnerabilities or exploits. Notice I said "business" and not "security team." Creation of a business-wide strategy should be done as a collaborative effort involving all stakeholders. By keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, each stakeholder can develop detective controls and countermeasures as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see fit -- but with a common adversary in mind. HR can focus on better background checks; physical security on guns and guards; audit staff on compliance; legal staff on policies; BI on suspicious competitor activities, and so on. You know you are making progress when management asks "how are we dealing with state-sponsored competitors" instead of "how are we dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Microsoft vulnerability?"

This doesn't mean you should ignore vulnerabilities. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common strategy across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization should focus on threats. When it comes to countermeasures in each team, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can deal with vulnerabilities and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of exploits.

Note that focusing on threats requires real all-source security intelligence. You don't necessarily need to contract with a company like iDefense, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few that do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of research I suggest you need. This isn't a commercial for iDefense and I don't contract with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir topical research reporting is an example of helpful (commercial) information. I would not be surprised, however, to find you already have a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background you need already held by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stakeholders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. Unifying against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats is one way to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se groups togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

3 comments:

BCF said...

So, Richard, Im curious which security people - who are decision makers at a business level - are focusing on vulnerabilities and not threats?

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are people like that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really need to be fired.

This is stuff that's been understood...forever? You can see it in one of CERT's classification schemes from 1998 (it represented classification of threat as something like: attacker->tool->vulnerability->asset->technical goal->strategic goal).

From where I am, it doesn't look like people aren't more than aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realities you describe. Instead, we lack good business process connecting our organization from those supposedly doing risk and threat management to those people sitting in front of hardware and software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front line.

I sit in cyber security working group meetings, attend ISAC stuff, etc, and people cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re understand threats - but not vulnerabilities.

My question is where are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mechanisms to connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se groups of people (within enterprises and cross-sector/industry)?

-jofny/sintixerr

Anonymous said...

So, Richard, Im curious which security people - who are decision makers at a business level - are focusing on vulnerabilities and not threats?

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are people like that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really need to be fired.


Most application owners are going to want something tangible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can fix (i.e. a vulnerability) and tick off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir list. The unquantifiable threat is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to scare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into taking action.

Anonymous said...

Richard.

The business should create a strategy for dealing with threats, not with vulnerabilities or exploits.

I will call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy - "Risk Management".