Saturday, October 10, 2009

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" Idiot!

The 28 September 2009 issue of InformationWeek cited a comment posted to one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir forums. I'd like to cite an excerpt from that comment.

[W]e tend to forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most critical asset. yet we spend inordinate time and resources trying to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers etc. I believe and [sic] information-centric security approach of protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only logical approach to keep it secure at rest, in motion and in use. (emphasis added)

I hear this "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" argument all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. I think it is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most misinformed comments that one can make. I think of Chris Farley smacking his head saying "IDIOT!" when I hear "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data."

"Oh right, that's what we should have been doing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10, 20, 30 years -- protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data! I feel so stupid to have not done that! IDIOT!"

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" represents a nearly fatal understanding of information security. I'm tired of hearing it, so I'm going to dismantle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea in this post.

Now that I've surely offended someone, here are my thoughts.

Someone show me "data." What is "data" anyway? Let's assume it takes electronic form, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of digital security measures. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first critical point:

Digital data does not exist independently of a container.

Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many containers which hold data. Imagine looking at a simple text file retrieved from a network share via NFS and viewed with a text editor.

  1. Data exists as an image rendered on a screen attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client.

  2. Data exists as a temporary file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client, and as a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS server.

  3. Data exists in memory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client, and in memory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS server.

  4. The NFS client and server are computers sitting in facilities.

  5. Network infrastructure carries data between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client and server.

  6. Data exists as network traffic exchanged between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client and server.

  7. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user prints cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, it is now contained on paper (in addition to involving a printer with its own memory, hard drive, etc.)

  8. The electromagnetic spectrum is a container for data as it is transmitted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen, carried by network cables and/or wireless media, and so on.


That's eight unique categories of data containers. Some smart blog reader can probably contribute two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to round out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list at ten!

So where exactly do we "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data"? "In motion/transit, and at rest" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular answers. Good luck with that. Seriously. This leads to my second critical point:

If an authorized user can access data, so can an unauthorized user.

Think about it. Any possible countermeasure you can imagine can be defeated by a sufficiently motivated and resourced adversary. One example: "Solution:" Encrypt everything! Attack: Great, wait until an authorized user views a sensitive document, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n screen-scrape every page using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware installed last week.

If you doubt me, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "final solution" that defeats any security mechanism:

Become an authorized user, e.g., plant a mole/spy/agent. If you think you can limit what he or she can remove from a "secure" site, plant an agent with a photographic memory. This is an extreme example but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no "IDIOT" solution out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

I can make rational arguments for a variety of security approaches, from defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system, to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, and so on. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, don't think that wrapping a document in some kind of rights management system or crypto is where "security" should be heading. I don't disagree that adding anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r level of protection can be helpful, but it's not like intruders are going to react by saying "Shucks, we're beat! Time to find anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r job."

Intruders who encounter so-called "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" approaches are going to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m like every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasure deployed so far. It's just a question of how expensive it is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder to do so. Attackers balance effort against "return" like any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rational actor, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will likely find cheap ways to evade "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" approaches.

Only when relying on human agents is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cheapest way to steal data, or when it's cheaper to research develop one's own data, will digital security be able to declare "victory." I don't see that happening soon; no one in history has ever found a way to defeat crime, espionage, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true names for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "information security" challenges we face.

23 comments:

jbmoore said...

Richard,

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se examples just highlight how difficult it is to "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data". The bad guys go for weakest links as you've stated above. They are now targeting government and business bank accounts because those deposits aren't as protected as retail bank accounts are since banks aren't liable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 losses like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are for credit cards and retail accounts. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banks' security is too tough, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y target cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer systems or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction firm's systems. This is why "data loss prevention" is almost an oxymoron. You can do everything right, and still lose your data because a firm or person you entrusted it to didn't do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security right.

This interdependence due to our network infrastructure is all around us.
It's almost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same situation as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking system. An individual bank may have been sound, but each bank is dependent upon its counterparties to pay back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir loans. If a competitor fails like Lehman, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system starts failing when AIG can't make good on its counterparty insurance, so a cascade of failure ripples through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system. The same is true for data security. The data is only as secure as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain, be that chain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company infrastructure, a company employee, or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r business that data is entrusted with.

Four ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r containers:
9. Backup media sent to an offsite storage facility.
10. Transferring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client to a free email account.
11. Transferring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free email account to an unsecured home system.
12. Transferring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to a corporate email, phone, or fax and sending that data to a vendor or business partner. If it goes by phone or fax, you aren't likely monitoring that traffic by law.

Ben said...

I'm racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r disappointed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short-sightedness represented here. Yes, you still need to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containers, but a data-centric approach has evolved for a couple key reasons, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least of which being that organizations barely know what data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have, let alone where it is, or how it traverses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. You cannot focus on securing containers until you answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se basic questions about what data is most important and how it flows.

Beyond this, I think you also largely ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 move to cloud computing. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it's SaaS, PaaS, or IaaS, as a consumer of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service you're forced to look at data protection racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than container protection, because that's what you can control.

More importantly, I think you have turned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument around. You're saying "focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container that secures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of us are saying "focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that needs to be secured so that you can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best decision possible for how to secure it." My phrasing sucks, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're essentially inverse statements; start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, work to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container vs start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container, work to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

fwiw.

Richard Bejtlich said...

Ben, I think you're missing my main point, maybe because I didn't say it outright: There is no such thing as "data." We can only think in terms of containers because without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no "data." "Start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" means nothing, because data doesn't exist independently of a container. Cloud computing doesn't change anything. You're just defining anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r container. What are you supposed to control? It's whatever container holds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

James said...

I agree with Richard on this. After thinking about it for a bit, it seems to me that data is an abstract concept that can take on many forms. You cannot interact with data unless you interact with its container, you cannot touch or hold data unless you interact with its container. Data can only be in two states, in transit or at rest, both of which must take place within a container. Focusing on protecting data is a little like treating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 symptoms but not fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underling issue that is causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place. For example, I have a hole in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of my glass of water, but I’m focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that I am losing water and trying to maintain an even level, instead of plugging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glass.

Khürt said...

I think what Ben is saying is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach taken to security so far has been to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure as though that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valuable bit. If you take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach that my "magic soda formula" is valuable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure will be built to protect that. The approach I see today is more network crap on top of more/better access and authorization crap. Stop calling it information security if all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure.

Seats belts, air bags, anti-lock brakes, traction control, crumple zones, guard rails, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road surface are all designed to minimize risks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valuable contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cars. None of it is designed to protect itself.

Richard Bejtlich said...

Khürt,

I think this is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r false argument. Please explain to me how deploying a firewall means "protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure itself." Someone deploys a firewall to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall?

Jim Manico said...
This comment has been removed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author.
Jim Manico said...

Traditional container/infrastructure based infosec has failed miserably as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers continue to target applications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link.

Regardless, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container of data? Well it includes largely custom applications. These non-comoditized dynamic layers are a world apart from network security. We need to start working with developers to encourage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to build defensive controls within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app itself. And that croud, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer crowd, traditionally are not a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec departments realm of responsibly. And this needs to change if we defenders want to actually win.

So, I tend to disagree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors article since it implies that netsec and WAF like thinking will win cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game.

Richard Bejtlich said...

Jim, I am not implying that "netsec and WAF like thinking will win cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game." I love hearing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appsec people on this subject. Please tell me what you are going to do differently to "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" that is not being done already? Whatever it is, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r myself or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reader will suggest multiple ways to defeat it. At its best, appsec makes it more difficult for intruders to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir goal, but a sufficiently motivated and resourced intruder will still win.

Jim Manico said...

There is no such thing as security - only reducing risk to an acceptable level. All I'm saying is that fancy network gear, infrastructure and "container" protection is useless in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of XSS, SQli, CSRF, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OWASP Top Ten risks. You may just need to code your custom applications differently. And sadly, you are 100% correct. The attacker, especially a well resourced and motivated attacker, will always win in today's world.

But if your web application coders are not doing input validation, output encoding, query parameterization, HTTPS, good aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and solid activity based access control, CSRF tokens, security centric logging within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app, etc - you might be making data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft and manipulation a bit to easy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. And even if your container is fully patched, you're screwed.

Josh Brower said...

Jim--

" All I'm saying is that fancy network gear, infrastructure and "container" protection is useless in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of XSS, SQli, CSRF, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OWASP Top Ten risks..."

I don't think you are understanding 'Container' cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Richard is using it--
"Container" protection for OWASP Top Then would be such things as you are saying-- (input valdiation, https, etc)

-Josh

Richard Bejtlich said...

Hi again Jim,

I wrote in my 2003 blog post The Dynamic Duo Discuss Digital Risk that

Security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of maintaining an acceptable level of perceived risk.

I repeated it in my Tao book published in 2004. So, we can agree on that as well!

Jim Manico said...

Richard,

The word "perceived" throws me off a little, but I think I'll agree to.. agree with you! :)

Compelling blog post, it definitely got my attention.

Looking forward to your next book.

- Jim

CG said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of valid points being made here, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas are being framed wrong.

The end game in most scenarios is data. "They" want your data. So I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement that "protecting data is what matters" is actually accurate. However, most people that repeat that phrase don't actually understand why or look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem too narrowly.

The problem is you believe its a one or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r approach, when its actually a tree or hierarchy. Protecting your data is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 over arching goal and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sub components of achieving that goal include:

Infrastructure Security
Application Security
Data Encryption
Transport Encryption
Access Controls
NSM
etc etc etc

Each one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contributes to protecting your data. One is not better cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. The NSM centric approach is not better cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data centric approach. It's been proved time and time again, even if you excel in one area of security its always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link that gets ya. The best security is a comprehensive approach. However, each organization should consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir unique threats and focus on security controls that reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir risk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most. It's not a one size fits all thing.

kevin_rowney@symantec.com said...

@CG Amen! This debate about "Information Centricity" vs. NSM has been repeatedly setup as a straw man. No one debates that leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter unguarded is a good idea, and too much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negativity around Information Centricity uses that straw man thinking.

For _far_ too long, much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion around InfoSec risk management has been dominated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM crowd. Information Centricity is no cure all, but if traditional container protections really worked; why are breach rates high and rising?

@Richard Bejtlich
I welcome this debate. Glad you started it. Are you aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numerous anecdotes where information centric approaches have made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crucial difference? You can't possibly be claiming that NSM alone will do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job, just like we are not claiming that ICRM alone will do it.

Having said that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is *ample* evidence from hundreds of enterprises where ICRM (Information Centric Risk Management) is a necessary component of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense.


The key claim of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICRM crowd (me included): "Effective infosec risk management is not possible if you don't know where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concentrations of your most sensitive data reside or flow."

The landscape of possible exposure risks is so large, prioritization is mandatory. If you are prioritizing with ignorance of location and flow of sensitive data, how can you possibly be doing a good job of defense?

Most NSM practitioners have a very remote understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se crucial facts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y attempt to defend. Closing that ignorance gap is a more reasonable interpretation of what is meant by "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data".


Kevin Rowney
Founder, Vontu (now part of Symantec)

Richard Bejtlich said...

Wait a second, since when did I say in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts that NSM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer?

kevin_rowney@symantec.com said...

@taosecurity RT "when did I say in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts that NSM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer?"

Your post attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICRM point-of-view and explicitly promotes classic countermeasures like defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 o.s., and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apps.

The same thing I said about NSM practitioners (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have a limited understanding of where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most crucial data is and where it flows) is equally applicable to practitioners of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasures.

So ok we agree: you are not saying NSM is "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer". Where we differ: your dismissal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICRM point-of-view.

Security practitioners need to get a grip of this fact: many enterprises now use information centric techniques as a primary means of prioritization of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management of risk.

Dismissing "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" as mere ignorant sloganeering isn't doing justice to facts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground. Many teams with good network/o.s./app security protections are missing cases of breach on a regular basis.

Cases of breach that would've been nailed by Information Centric approaches.

Kevin Rowney

Jim Manico said...

Andrew van der Stock from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glorious world of OWASP and AppSec posted a reply to this blog post titled "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data, Idiot! Redux." It's worth a read.

http://www.greebo.net/2009/10/12/protect-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-data-idiot-redux/

Richard Bejtlich said...

I have plenty more to say about this, but let's address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Idiot!" part of this post. I have a feeling people like Andrew van der Stock hasn't seen "The Chris Farley Show" skits on SNL in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1990's. For example:

Chris Farley interviewing Paul McCartney:

Chris Farley: Um, hi. Welcome to The Chris Farley Show. I'm.. Chris Farley.. and, my guest tonight is.. one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365.. greatest musicians.. uh, rock musicians. I guess, songwriter, ever. [ Smacks himself ] GOD! That sounds stupid! God, I'm an idiot!

So I wrote:

I think of Chris Farley smacking his head saying "IDIOT!" when I hear "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data."

"Oh right, that's what we should have been doing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10, 20, 30 years -- protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data! I feel so stupid to have not done that! IDIOT!"


In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, supposedly "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 silver bullet we should have been pursuing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last several decades, and only now we're realizing it! Cue Farley: "Idiot!"

Richard Bejtlich said...

Kevin, you said in your post Six Myths of Information Security (cont'd):

Myth #2 -- The standard model of perimeter security protects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise...

When we look over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large number of data breach events that our customers prevented using DLP and when we see publicly reported breach events that clearly would have been stopped by our software had we been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re - it's hard not to conclude that a central failing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard model is that it does not protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself. The standard model does a fine job of protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containers of confidential data (firewalls protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LAN, endpoint protection protects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts, access control protects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apps and files) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself is left completely unprotected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se countermeasures.


Please tell me what is "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself" is. This might help focus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion. Thank you.

John said...

One more container, human memory. Read about Soviet/Russian defector Mitrokhin and our own Jonathan Pollard. They mostly took what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y knew, talked about and saw that day and wrote it down when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y went home that evening. Richard touches on that when he talks about unauthorized/authorized users, but if we're making lists of data containers, we need to include that.

Andrew van der Stock said...

@Richard,

You're 100% right - I've never seen SNL or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great Chris Farley performing that skit. Even though I was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA, and SNL has been broadcast here in Australia on cable for a few years.

However, it still comes across with a real lack of irony and a very strong case FOR protecting containers.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record, I'm all for protecting containers, but only those containers that I've identified as holding or passing suitably classified data that we care about.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, if someone is willing to leak information, we have a HR problem, not a technical problem. I think too many security professionals forgot that very simple weak link - humans.

Looking forward to more of your posts - always thought provoking.

thanks,
Andrew

Unknown said...

I'm a little late to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party, but as usual I agree with your practicality, Richard. It's not so much that protecting data is worthless, it just can't be something we put all our eggs into or naively think we can solve that problem absolutely.

I also firmly believe in what you said at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, and I think too many people take stances/approaches that disregard this simple truth:

"...no one in history has ever found a way to defeat crime, espionage, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true names for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "information security" challenges we face."