Saturday, May 23, 2009

Defender's Dilemma vs Intruder's Dilemma

This is a follow-up to my post Response for Daily Dave. I realized I had a similar exchange three years ago, summarized in my post Response to Daily Dave Thread. Since I don't seem to be making much progress in this debate, I decided to render it in two slides.

First, I think everyone is familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defender's Dilemma.



The intruder only needs to exploit one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims in order to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

You might argue that this isn't true for some networks, but in most places if you gain a foothold it's quickly game over elsewhere.

What Dave and company don't seem to appreciate is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a similar problem for attackers. I call it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intruder's Dilemma.



The defender only needs to detect one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s presence in order to initiate incident response within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

What's interesting about this reality is that it applies to a single system or to a collection of systems. Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder only compromises a single system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of indicators available make it possible to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker. Knowing where and when to look, and what to look for, becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge. However, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident expands to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of discovery increases. So, perversely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely someone is going to notice.

Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not you can actually detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's presence depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of visibility you can achieve, and that is often outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team doesn't own computing assets. However, this point of view can help you argue why you need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility to detect and respond to intrusions, even though you can't prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

4 comments:

Visible Risk said...

"intruder's Dilemma" is one of my favorite posts in a long time, not just because I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise Visibility concept, but more so, because it puts a positive spin on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunities we face.

Finding solutions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obstacles we face as practitioners makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job challenging and at times extraordinarily frustrating, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of each incident it is satisfying to know you made a difference.

-Rocky

kurt wismer said...

of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's dilemma is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender's dilemma - it's a special case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender's dilemma. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder must defend his intrusion in order to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of success.

grecs said...

Of course we are getting attacked all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time so it may be difficult to figure out which attacks to focus on...

Anonymous said...

As I like to say - for water to come out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bucket, it only needs to find one single hole, but for us to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 water from coming out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bucket we need to fix ALL holes.

The same with security. We need to secure all our flaws because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacker will only need one in order to turn us from users to victims.