
I've been trying to describe to management how close various individual information assets (primarily computers -- desktops, laptops, etc.) are to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doomsday scenario of sensitive data exfiltrated by unauthorized parties. This isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only type of incident that worries me, but it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I decided to tackle first. I view this situation as a continuum, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a "risk" rating. I'm trying summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of affairs for an individual asset racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "model risk."
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far left column I've listed some terms that may be unfamiliar. The first three rows bear "Vuln" ratings. I list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se because some of my businesses consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of a vulnerability in an asset to be an "incident" by itself. Traditional incident detectors and responders don't think this way, but I wanted to include this aspect of our problem set. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se first three rows, I consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assets to exist without any discoverable or measurable adversary activity. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, assets of various levels of vulnerability are present, but no intruder is taking interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (as far as we can tell).
The next four rows (Cat 6, 3, 2, 1) should be familiar to those of you with military CIRT background. About 7 or 8 years ago I wrote this Category Descriptions document for Sguil. You'll remember Cat 6 as Reconnaissance, Cat 3 as Attempted Intrusion, Cat 2 as User Intrusion, and Cat 1 as Root/Admin Intrusion. I've mapped those "true incidents" here. These incidents indicate an intruder is taking interest in a system, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder gains user or root level control of it. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder doesn't need to gain control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset in order to steal data, you can simply jump to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final three rows.
The final three rows (Breach 3, 2, 1) are what you might consider "post exploitation" activities, or direct exploitation activities if no control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset is required in order to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's data exfiltration mission. They loosely map to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reinforcement, consolidation, and pillage phases of compromise I outlined years ago. I've used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "Breach" here to emphasize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of this aspect of an intrusion. (Gunter's recent post Botnet C&C Participation is a Corporate Data Breach reinforced my decision to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "breach" in situations like this.) Clearly Breach 3 is a severe problem. You might still be able to avoid catastrophe if you can contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident at this phase. However, intruders are likely to quickly move to Breach 2 and 1 phases, when it's Game Over.
If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has to be an "impact 0" rating, I would consider that to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of an information asset, i.e., it doesn't exist. Any asset whatsoever has value, so I don't see a 0 value for any existing systems.
At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum, if we have to "crank it to 11," I would consider an 11 to be publication of incident details in a widely-read public forum like a major newspaper or online news site.
I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "impact" in this sense: what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative impact of having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual asset in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state described? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative impact of having an asset with impact 1 is very low. We would all like to have assets that require an intruder to apply substantial effort to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and exfiltrate sensitive data. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "game over" impact -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder has exfiltrated sensitive data or is suspected of exfiltrating sensitive data based on volume, etc. Even if you can't tell exactly what an intruder exfiltrated, if you see several GBs of data leaving a system that houses or access sensitive data, you can be fairly confident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder grabbed it.
I listed some sample colors for those who understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world in those terms.
I've reproduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text below for future copying and pasting.
- Vuln 3 / Impact 1 / Intruder must apply substantial effort to compromise asset and exfiltrate sensitive data
- Vuln 2 / Impact 2 / Intruder must apply moderate effort to compromise asset and exfiltrate sensitive data
- Vuln 1 / Impact 3 / Intruder must apply little effort to compromise asset and exfiltrate sensitive data
- Cat 6 / Impact 4 / Intruder is conducting reconnaissance against asset with access to sensitive data
- Cat 3 / Impact 5 / Intruder is attempting to exploit asset with access to sensitive data
- Cat 2 / Impact 6 / Intruder has compromised asset with access to sensitive data but requires privilege escalation
- Cat 1 / Impact 7 / Intruder has compromised asset with ready access to sensitive data
- Breach 3 / Impact 8 / Intruder has established command and control channel from asset with ready access to sensitive data
- Breach 2 / Impact 9 / Intruder has exfiltrated nonsensitive data or data that will facilitate access to sensitive data
- Breach 1 / Impact 10 / Intruder has exfiltrated sensitive data or is suspected of exfiltrating sensitive data based on volume, etc.
What do you think of this rating system? I am curious to hear how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of an incident to management.
Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.
Update: Since writing this post, I've realized it is more important to think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events as intrusions. The word "incident" applies to a broader set of events, including DDoS, lost or stolen devices, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. My use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "intruder" throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post indicates my real intention.