Given my recent posts like Whicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Air Force Cyber? I felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to comment on Noah Shachtman's story Air Force Aims to 'Rewrite Laws of Cyberspace':The Air Force is fed up with a seemingly endless barrage of attacks on its computer networks from stealthy adversaries whose motives and even locations are unclear. So now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service is looking to restore its advantage on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual battlefield by doing nothing less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rewriting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "laws of cyberspace."
Four years ago I wrote Thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Computing Plans:
I was asked my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force's new computing deal with Microsoft. In short, Microsoft will provide core server software, maintenance and upgrade support, and Dell will supply more than 525,000 Microsoft desktop Windows and Office software licenses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force...
So instead of taking a serious look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause of its patching and exploitation costs (both financial and in mission impact), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force sought a better deal from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor producing flawed software. This is sad. TechWorld's Ellen Messmer wrote "The US Air Force has had enough of Microsoft's security problems. But racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than switch to an alternative, it has struck a deal with CEO Steve Ballmer for a specially configured version of Windows..."
Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force decided to break away from Microsoft, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r services would have definitely taken notice. In fact, corporate America would have taken notice.
I followed a few months later with As Always, .gov and .mil Fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last War:
The US Office of Management and Budget's Karen Evans reportedly likes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force's plans to "deliver standardized and securely configured Microsoft software throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service..."
This approach is fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last war, since it relies on running hundreds of thousands of personal computers with general purpose operating systems. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems will still need applications installed, and those apps and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS will have to be patched, updated, etc.
Here we are staring at 2009 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is still being 0wned. So much for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bold Microsoft strategy! Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force has taken a note from my blog post Change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Plane by seeking to "rewrite laws of cyberspace."
Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and anyone else who seeks a vulnerability-centric security program needs to realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to win purely by playing defense is to be different. Being different means you force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to expend time and resources on attacking you. Right now it's cheap for an adversary to develop a single Word 0-day and sell it to someone attacking .mil, or .edu, or .com, or anyone else running Office. However, if you really want to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use AFOffice on AFOS (maybe on AF CPU), you have to develop new ways to steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data. That's probably not cheap.
Unfortunately for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs adopting a defense-by-diversity strategy, being different costs money. The whole reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense and intel communities adopted COTS (Commercial Off The Shelf) platforms was to save money. The Air Force and anyone else who pursues a vulnerability-centric security posture should weigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total costs of COTS vs GOTS (Government Off The Shelf). I bet when you factor in security costs, COTS doesn't look so attractive anymore.
5 comments:
While I agree with your point about security through diversity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought of a GOTS OS or CPU is terrifying. Major software projects are *hard*, and putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of government contractors almost guarantees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir failure.
Beyond that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform would have to be 'open', in order to provide a base for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r government applications. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory, this could end up dragging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense market onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system as well (have to maintain compatibility with your customer!), which would destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole benefit of a unique platform to begin with.
I don't understand why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USAF (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r DoD services) don't 'rewrite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules' and simply disconnect everything but PAOs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public Internet. It seems to work OK for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classified DoD networks.
adam,
think of "AFOffice" as a re-branded OpenOffice.org and "AFOS" as a customized Linux (or *BSD!) distro. The costs involved in that process is likely orders of magnitude cheaper than building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from scratch. Such a platform would fulfill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement that Richard expresses: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy would need to spend additional resources customizing attacks for "AFOS" or "AFOffice" that would not (necessarily) be portable to educational or commercial institutions.
I could, tell you about a COTS drop-in security sub-system that makes those COTS networks trustworthy, but, you probably wouldn't believe me, LOL.
Few would argue that reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diversity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 natural world should be a national goal, but that is precisely what we do with corporate desktops. Despite what some might think, I am sympacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual reason we do it -- making everything almost entirely alike is, and remains, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only hope for being able to manage it in a consistent manner. Therefore, when you deploy a computing monoculture you are making a risk management decision: That cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downside risk of a black swan event is more tolerable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downside risk of perpetual inconsistency. Which path you choose is doubtless correlated with how short- vs. long-term your planning horizon is.
Post a Comment