Friday, June 05, 2009

Information Security Incident Classification


Thank you to those who commented on my previous post on this subject. I've had a few people ask to use this chart, but I wanted to clarify a few items now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been some good public and private discussion about it.

My intention with this chart is to help classify an incident involving compromise of an individual system. There are plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sorts of information security incidents, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest problem I deal with on a daily basis. I need a way to talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of an individual compromised asset. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional DoD Category system wasn't sufficient, especially in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post-Cat 1 world. I still like those Categories but I needed to go furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (post-exploitation) and for one of my constituents, backwards (to when a system is just vulnerable, but no one is yet interested in it -- as far as we can tell).

I decided to call this updated chart a "classification" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a "rating," and to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 label "impact." The words rating and impact imply "risk" and asset value to some degree, and I'm not talking about eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r here. This is a little bit like assigning a CVE number; it says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, but at least we can all reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vulnerability. With my chart I can now build service expectation timelines around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident type. I can also quickly understand where we are with any incident when one of our team says "we have a Cat 1, but our perimeter defenses appear to have contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident so it has not reached Breach 3 status."

I think it is important to keep in mind that having anything remotely approaching a valid understanding of "risk" requires a great deal of understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets in question. Not only must you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised asset (its function, normal usage patterns, its inputs, its processes, its outputs), but you must understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means by which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset interacts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, any trust relationships, and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors. In most cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to gain a real appreciation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se real-world conditions is to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder in action, seeing what he can do or get, or 2) red-team cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system yourself to see what you can do or get. Modern systems and enterprises are far too complex for anyone to sit back like Mycroft Holmes and truly understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "risk" of a compromise.

I should also say that I would never expect to tell a manager that we have discovered a Breach 2 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n walk away. The natural next question involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous paragraph, and answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m takes far longer than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of detecting and validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. If you doubt me, try talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD that does nothing but computer incident damage assessment all day long.

Incidentally, please feel free to use this diagram, providing you cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source. I am encouraged when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs seek to adopt this sort of language for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own programs, because it moves us closer to having common ways to discuss operational problems. Thank you.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

No comments: