Monday, November 24, 2008

Defining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win

In March I posted Ten Themes From Recent Conferences, which included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Permanent compromise is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm, so accept it. I used to think digital defense was a cycle involving resist -> detect -> respond -> recover. Between recover and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be a period where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise could be considered "clean." I've learned now that all enterprises remain "dirty" to some degree, unless massive and cost-prohibitive resources are directed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

We can not stop intruders, only raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir costs. Enterprises stay dirty because we can not stop intruders, but we can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lives more difficult. I've heard of some organizations trying to raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $ per MB that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary must spend in order to exfiltrate/degrade/deny information.‏
(emphasis added)

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I've grappled with this idea of how to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win. If you used to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win as detecting and ejecting all intruders from your enterprise, you are going to be perpetually disappointed (unless your enterprise is sufficiently small). Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are alternative ways to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win if you have to accept permanent compromise as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm? The following are a few ideas, credited where applicable.

The first two come from my post Intellectual Property: Develop or Steal, but I repost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here for easy reference.

  1. Information assurance (IA) is winning, in a broad sense, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of stealing intellectual property via any means is more expensive than developing that intellectual property independently. Nice idea, but probably too difficult to measure.

  2. IA is winning, in a narrow sense, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of stealing intellectual property via digital means is more expensive than stealing that data via nontechnical means (such as human agents placed inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization). Still difficult to measure, but might be estimated using red teaming/adversary simulation/penetration testing.

  3. IA is winning when detection operations can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's actions. This relates to Bruce Schneier's classic advice to Monitor First. The more mature answer is next.

  4. IA is winning when incident responders can anticipate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's next target. I credit Kevin Mandia with this idea. I like it because it shows that complex enterprises will always have vulnerabilities and will always be targeted, but a sufficiently mature detection and response operation will at least be able to guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's next move. You can even test this by keeping a track record.

  5. IA is winning when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to detect and remediate has been reduced to B. Insert your own value cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. You can track your progress from time A to time B.

  6. IA is winning when your enterprise security integrity assessments show less than D percent of your assets are compromised. You can track progress from C percent to D percent over time. This leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more mature version which follows.

  7. IA is winning when your enterprise intrusion debt is reduced to F. You can measure intrusion debt as you like and take steps to reduce it from E to F.


Does anyone else have ideas on how to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win?


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

15 comments:

Anonymous said...

"Does anyone else have ideas on how to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win?"

IAF is winning when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business it protects has durable competitive advantage.

Gustavo Araujo Bittencourt said...

This is similar to your option 7, IA is winning when: E - F > IAcost
So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best wining is: Max(E - F - IAcost)

Anonymous said...

In Six Sigma speak (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're still doing that at GE, right?!) you're describing "critical to quality characteristics" (CTQs) of a winning security strategy. However, for a CTQ to be useful, it must be be measurable (where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measurement is repeatable, cheap, and precise).

I think #5 and #6 are measurable...perhaps could wrap a measurement around #3. But I don't see a good way to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m reliably. I don't have a suggestion yet for alternatives, but am giving it some thought.

John said...

IA is winning at your company when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of stealing IP via digital means is more expensive than stealing someone else's. Real world equivalent-a thief checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locks on a store's doors at 3:00 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning, finds that it's locked, moves to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 store next door, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir door isn't locked. Which store gets broken into?

While certain companies have specific IP or data that may be desireable for a bad actor to steal, most crime, and I would argue cybercrime is no different, is more like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation described above. IA doesn't win in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term if it's easier just to try someone else down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 block. Just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shopping mall where those two stores are located doesn't win.

Anonymous said...

My 2 cents at a high level

Low Bar Win - You can at least reliably detect when your owned.

Medium Bar Win - You are doing everything within your control and more importantly budget to secure your network and data. And of course documenting it :-)

High Bar Win - Nobody has a foothold on your network, your data is safe, and you can continuously prove it.

Anonymous said...

John, you sound so noble. But do you have exterior lights on your house at night? Do you lock your doors at home when you leave? Have you bought a home alarm system?

If so, you're encouraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thieves to move on down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 street and (yes, unfortunately) break into a neighbor's home. It would be admirable of you to start a neighborhood watch, join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local crime-stoppers association, etc. But I bet you're not doing nightly patrols of your neighborhood on foot, or helping your neighbors fund an alarm system for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir homes. Bottom line: you're looking out for your own home, and if doing so causes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burglar to rob your neighbors instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you'll be satisfied that you've done your job, right? Why is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber world any different?

I'm sure you'd like all crime in your city to cease, and I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above commenter would like all cybercrime to go away. We live in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world though, and winning is relative, not absolute.

Anonymous said...

John - upon re-reading your post above, maybe we're actually in violent agreement... I'm still not sure if you're saying IA *is* winning when it's easier to steal someone else's, or if you're disagreeing with that perspective (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last paragraph, you say "IA doesn't win...if it's easier to try someone else down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 block," so I'm not sure).

Anyhow, I agree with your statement that "IA is winning at your company when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of stealing IP via digital means is more expensive than stealing someone else's."

KS Lee said...

I think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most challenging part here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quantitative measure of security in any network-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of "security metric". It will be useful but may be difficult to define all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 times. e.g. for web application security.

Anonymous said...

IA has lost its focus if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of winning does not use information and assurance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metrics.

3 & 4 are information counterintellingence not assurance. Information counterintelligence can help provide metrics for use in determining if you are winning or losing.

IA is winning when you are not losing.

IA has lost when protected information is released at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate or cumulative magnitude above acceptable limits and used against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organisation.

IA stays lost until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 released protected information no longer has an impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organisation.

This definition of winning illustrates some points.
- Some loss is expected.
- You need to know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of your information is
- You need to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of protecting your information from compromise
- If information is compromised but never used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual loss is minimal
- If you only have one secret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you need to protect it well. If you are continuously generating secrets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a single loss can be sustained better
- Effective response and recovery is required to stop losing

John said...

Hank-
I think we're more in agreement than not. Initially I was making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that most crimes are crimes of opportunity and that if we've got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doors but our neighbor doesn't, that's not good for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole neighborhood. On re-reading everyone's posts on this discussion, I think we're all grappling with Richard's original problem of 'defining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win'. I originally took IA to mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry in general. On re-reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OP I realize that Richard seemed more focused on an individual org's IA. He's a little more tree-focused, I'm a little more forest-focused. OK.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chief things we're dealing with in security is trust. We are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business of gauranteeing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of our abilities our business's customers' trust. That's it. While our individual company may be worthy of that trust, what happens when an industry as a whole is viewed as a "bad neighborhood", not worthy of trust? I ignore all emails, legitimate or not, from Ebay, Wal*Mart, Bank of America, and several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies. Is that what those companies want? I doubt it. What happens to a company when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get lumped in with spammers, TJ Maxx, etc.? How do you prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer lumping you in with those guys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place? I think that's a pretty big deal and it's a hard question to answer. But if you ignore what's going on down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 block, you may end up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most amazingly secure business that no one goes to anymore. That means no more paycheck. That's bad.

Anonymous said...

It sounds like everyone's defining "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win" as "we lost but don't want to admit it."

I still see things in black and white, after all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se years.

mjr.

Anonymous said...

OK, I need to elaborate on my previous comment.

Lots of those "wins" are short-term rearguard actions and are nothing resemblin "winning" in a long-term context. And, in case nobody noticed, this is a long-term problem. Caving in (which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual eventual position of security) often results in a negotiated position that somewhat reduces risk in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short term but in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term probability says that sooner or later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be a failure. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fallacy of risk reduction approaches: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're just an attempt to paper over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem until someone else takes it over and hopefully it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir disaster to deal with later.

I could give countless examples of how this short/long-term dynamic has played itself out in security - in fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire security industry is intellectually twisted around trying to apply short-term fixes to failed short-term fixes (antivirus is a good example) with full knowledge that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-term endgame is 100% unadulterated fail.

mjr.

Unknown said...

Quite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doozy of a post, and a dilemma trying to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 win.

I do also like #4, but that, to me, means you have lots of info being thrown at really good staffers. They could be overwhelmed but still able to anticipate. However, I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of this as a desired state for your operations.

I like a sort of combination of #4 (which incorporates #3), #5, #6, and #7. But it still seems complicated to tell your CSO that this means "win."

Unknown said...

@mjr
I think you have a point, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of mistaking your message, I'd love to read those examples before getting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wagon or throwing eggs. And no, I don't want examples just to pick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m apart, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to just help understanding. :) (Dare I say that analogies always fail in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term?)

One thing that comes to mind is how quickly technology changes, making our long-term gameplans largely moot, when you get beyond overarcing policies.

H. Carvey said...

At this point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, I'd settle for defining a "win" as:

1. You meet legal and/or regulatory compliance standards (ex: PCI DSS para 12.9 requires that you have a CSIRP, and para 12.9.6 requires that you test it annually).

2. You're no longer being notified of data breaches to your infrastructure by external third parties weeks (or months) after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y happen.

Sometimes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small steps make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest wins...