Monday, November 23, 2009

Control "Monitoring" is Not Threat Monitoring

As I write this post I'm reminded of General Hayden's advice:

"Cyber" is difficult to understand, so be charitable with those who don't understand it, as well as those who claim "expertise."

It's important to remember that plenty of people are trying to act in a positive manner to defend important assets, so in that spirit I offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commentary.

Thanks to John Bambanek's SANS post I read NIST Drafts Cybersecurity Guidance by InformationWeek's J. Nicholas Hoover.

The article discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest draft of SP 800-37 Rev. 1:
DRAFT Guide for Applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach
.

I suspected this to be problematic given NIST's historical bias towards "controls," which I've criticized in Controls Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solution to Our Problem and Consensus Audit Guidelines Are Still Controls. The subtext for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article was:

The National Institute for Standards and Technology is urging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government to continuously monitor its own cybersecurity efforts.

As soon as I read that, I knew that NIST's definition of "monitor" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article's definition of "monitor" did not mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real sort of monitoring, threat monitoring, that would make a difference against modern adversaries.

The article continues:

Special Publication 800-37 fleshes out six steps federal agencies should take to tackle cybersecurity: categorization, selection of controls, implementation, assessment, authorization, and continuous monitoring...

Finally, and perhaps most significantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document advises federal agencies to put continuous monitoring in place. Software, firmware, hardware, operations, and threats change constantly. Within that flux, security needs to be managed in a structured way, Ross says.

"We need to recognize that we work in a very dynamic operational environment," Ross says. "That allows us to have an ongoing and continuing acceptance and understanding of risk, and that ongoing determination may change our thinking on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r current controls are sufficient."

The continuous risk management step might include use of automated configuration scanning tools, vulnerability scanning, and intrusion detection systems, as well as putting in place processes to monitor and update security guidance and assessments of system security requirements.


Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preceding text mentions "intrusion detection systems," but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text has nothing to do with real monitoring, i.e., detecting and responding to intrusions. I'm not just talking about network-centric approaches, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way -- infrastructure, host, log, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources are all real monitoring, but this is not what NIST means by "monitoring."

To understand NIST's view of monitoring, try reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new draft. I'll insert my comments.

APPENDIX G

CONTINUOUS MONITORING

MANAGING AND TRACKING THE SECURITY STATE OF INFORMATION SYSTEMS

A critical aspect of managing risk from information systems involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security controls employed within or inherited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.65

[65 A continuous monitoring program within an organization involves a different set of activities than Security Incident Monitoring or Security Event Monitoring programs.]


So, it sounds like activities that involve actually watching systems are not within scope for "continuous monitoring."

Conducting a thorough point-in-time assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployed security controls is a necessary but not sufficient condition to demonstrate security due diligence. An effective organizational information security program also includes a rigorous continuous monitoring program integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system development life cycle. The objective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring program is to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of deployed security controls continue to be effective over time in light of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitable changes that occur.

That sounds ok so far. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of evaluations to determine if controls are effective over time. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next section below we get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, and why I wrote this post.

An effective organization-wide continuous monitoring program includes:

• Configuration management and control processes for organizational information systems;

• Security impact analyses on actual or proposed changes to organizational information systems and environments of operation;67

• Assessment of selected security controls (including system-specific, hybrid, and common controls) based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization-defined continuous monitoring strategy;68

• Security status reporting to appropriate organizational officials;69 and

• Active involvement by authorizing officials in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing management of information system-related security risks.


Ok, where is threat monitoring? I see configuration management, "control processes," reporting status to "officials," "active involvement by authorizing officials," and so on.

The next section tells me what NIST really considers to be "monitoring":

Priority for security control monitoring is given to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reatest volatility and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls that have been identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization’s plan of action and milestones...

[S]ecurity policies and procedures in a particular organization may not be likely to change from one year to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next...

Security controls identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan of action and milestones are also a priority in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring process, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls have been deemed to be ineffective to some degree.

Organizations also consider specific threat information including known attack vectors (i.e., specific vulnerabilities exploited by threat sources) when selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of security controls to monitor and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of such monitoring...


Have you broken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code yet? Security control monitoring is a compliance activity. Granted, this is an improvement from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical certification and accreditation debacle, where "security" is assessed via paperwork exercises every three years. Instead, .gov compliance teams will perform so-called "continuous monitoring," meaning more regular checks to see if systems are in compliance.

Is this really an improvement?

I don't think so. NIST is missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point. Their approach advocates Control-compliant security, not field-assessed security. Their "scoreboard" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a compliance audit, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of systems under adversary control or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data exfiltrated or degraded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

I don't care how well your defensive "controls" are informed by offense. If you don't have a Computer Incident Response Team performing continuous threat monitoring for detection and response, you don't know if your controls are working. The NIST document has a few hints about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right approach, at best, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "monitoring" guidance is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compliance activity.

13 comments:

DanPhilpott said...

The focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new NIST SP 800-37 Revision 1 draft is straightforward. It isn't simply security controls. The focus is right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bit about applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Management Framework. This new draft presents a process for systematically assessing and addressing risk for Federal organizations, information and information systems.

There are, thankfully, still controls involved.

Controls are a good thing. They remind us what needs to be considered when evaluating risk to an organization or information system. They ensure security planners, assessors and maintainers systematically consider many different aspects of security. Every security practitioner has biases when evaluating. Some over-emphasize host based security, some under-emphasize network attacks, some forget about physical vulnerability or environmental factors entirely. The catalog of security controls is a reminder of things often forgotten.

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative to controls? Hire a horde of handy hackers hoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y holistically hit every hole? Network centric, attack based security is important but not sufficient for adequate security. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you call it a hardening guide or a list of things to remember it is still a catalog of controls.

Unfortunately, you are mistaken when you say "infrastructure, host, log, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources are all real monitoring, but this is not what NIST means by "monitoring."" All of those are parts of what is meant by continuous monitoring. Going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST SP 800-53 catalog of controls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance NIST has always placed on proper auditing and monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system is readily apparent. Those security controls include audit record content requirements, SIEM requirements, log analysis, regular review and much more.

Some organizations have construed monitoring to mean reviewing a subset of security controls for a system. That review is part of continuous monitoring, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part that has you check to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security controls you think are in place are still in place. It is also a part NIST is attempting to automate through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAP program to allow for real time monitoring of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system changes.

I suspect NIST made a faulty assumption when putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA C&A process. They assumed security professionals would look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process as an opportunity to start systematically addressing security. Somewhere along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line something was lost in translation and we ended up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review of one third of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security controls is what constitutes continuous monitoring. In so far as that practice enhances security it should continue, but monitoring means exactly what any thoughtful security person thinks it should mean.

Richard Bejtlich said...

Dan, my post was very simple. It's clear NIST doesn't use "monitoring" to mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of monitoring that would make a real difference. That was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of my post.

Two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r points.

You said:

"Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you call it a hardening guide or a list of things to remember it is still a catalog of controls."

That is EXACTLY cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. Finding intruders is not "a hardening guide or a list of things to remember."

You also said:

"It is also a part NIST is attempting to automate through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SCAP program to allow for real time monitoring of when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system changes."

Detecting system change through SCAP is NOT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same task as finding intruders. Intruders may introduce change, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may not.

Controls are certainly helpful, but I did not read anything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST guide that will really make a difference as far as discovering and removing intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. NIST is several years too late if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to improve security when all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir constituents are already thoroughly compromised.

Marcus said...

"Dan, my post was very simple. It's clear NIST doesn't use "monitoring" to mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of monitoring that would make a real difference. That was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of my post."

When you say "monitoring" you have made clear throughout your post you mean of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion analysis" variety. That would be a specific control. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r its good or bad (and I'm not defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST draft), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST document is not intended to recommend or design specific controls. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 draft:

"The purpose of this publication is to provide guidelines for applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Management Framework..."

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps in that framework is "security control selection and implementation." In a given situation, it may be that an organization applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 framework would select intrusion monitoring/analysis as a control. Irrespective of what controls a particular organization choose to implement, this draft is not intended to suggest one or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r particular controls but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to develop/propose a framework within which to make that decision.

It is true that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST when discussing "control monitoring" does not mean "intrusion monitoring". If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had meant that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may have said that.

Your whole article is predicated on a sophomoric error of logic that all "monitoring" must be of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety that you most closely associate with. In this case you have, on that basis, essentially criticized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST for doing something poorly which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were not trying to do at all (i.e. recommend specific security controls).

Anonymous said...

@Marcus
"cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST document is not intended to recommend or design specific controls."

Then what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of SP800-53: "RECOMMENDED Security Controls for Federal Information Systems and Organizations".

SP800-53 is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core documents that make up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RMF.

The AU family of controls is all about intrusion monitoring from Bejtlich's point of view but an organization can easily be compliant with those controls and not have anything close to an effective intrusion monitoring program.

COMPLIANCE DOES NOT EQUAL SECURITY. How many times do we have to rehash this argument?

Anonymous said...

Unfortunately, I believe you are selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong example to prove a point. The 800-37 is standard 'C&A boilerplate' to state that systems will be built using a minimum standard baseline process, and that that process is documented, monitored, and accountable. Without such a document, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what 'accountability' is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re later when it doesn't meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum standard?

What you should be referring to, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual 'intrusion monitoring' control (SI-4 INFORMATION SYSTEM MONITORING) contained in 800-53 annex 3. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more important question really, is why this control isn't more deeply defined and actually enforced using quantifiable metrics.

Understandably, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bar needs to be raised. However, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community surpasses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'patch and check' mentality propagated by vendors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir poorly coded software (which has never scaled to large systems), it's all a moot point anyway.

Marcus said...

"Then what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of SP800-53: "RECOMMENDED Security Controls for Federal Information Systems and Organizations". "

Well thats a different document, now in'it?

THIS particular draft, which was criticized for not recommending "threat monitoring" also does not recommend a whole host of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security controls (e.g. firewalls, access control) because it is not intended to do so.

"COMPLIANCE DOES NOT EQUAL SECURITY. How many times do we have to rehash this argument?"

I never said any such thing, nor do I believe it. I'm not defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of NIST work at all, but this is a bit like criticizing a brownie recipe for making a poor pasta substitute. Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cook sucks (and I really have no opinion on that in this case) this particular criticism is illogical.

vmcto said...

I think your criticism is valid but mis-directed and 800-53 should do a better job of being specific about how to measure if a threat monitoring program is effective.

But if more organizations adopted a systematic process to assess risk, address vulnerabilities, reduce footprint, monitor threats, and manage change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world would be a better place. No compliance not equal security, but you can't have security without some sort of foundation.

I would knock NIST for not producing a manageable documentation set and guidance that might actually be picked up and used by smaller organizations.

I would argue that that should be a goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail at it.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pursuit of academic rigor and comprehensiveness cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lost usability by non-specialists. Leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people that need help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most without any.

Steve Gantz (Security Architecture) said...

Richard,

I couldn't agree more with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitations of a control-based approach, but given where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds are now, I think you have to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revised 800-37 as an improvement. "Continuous monitoring" is more about achieving situational awareness and linking incident response to overall security management than it is about identifying and responding to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats coming in. Just about every agency has an incident response capability, so without presuming to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are all doing a great job (clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise in annual reported incidents would suggest ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise), just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recognition that occasional attention to what's supposed to be in place and operating as intended isn't producing results. I don't know what your time at KSG was like, but one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes I took away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MPP program is in government, "all successful change is incremental." Let's not characterize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failure on NIST's part to recommend a wholesale replacement of current security program operations to mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re couldn't or shouldn't be improvements sought within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sub-optimal control-driven model.

Where intrusion detection and prevention is concerned, I think it's disingenuous to fault individual agencies for not moving to implement continuous threat monitoring when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have no current capability to make sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information. IDS or IPS is of no use (and may be counter-productive) without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding experts to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools, tailor detection rules, and tune operations to minimize false positives and separate noise from actual threats.

Lastly, I assume from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative approach you propose that you'd fully endorse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein program taken to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realization of its vision with active intrusion detection and IPS on all government networks (operated for all agencies by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA). I'm not sure how it is that DHS or NSA expect to field cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 army of analysts that would be required to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring of that volume of traffic, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government has made it abundantly clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r want nor trust individual agencies (civilian ones anyway) to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own monitoring.

DanPhilpott said...

Richard, I stand by what I have said. NIST says in in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir documents and I have heard it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors, continuous monitoring involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole enchilada of things we call monitoring. It involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 periodic review of security controls plus as required by FISMA plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log monitoring, intrusion detection, change management, etc. that are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more familiar parts of a security persons day to day duties.

You mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specificity that NIST SP 800-37 uses when discussing monitoring. SP 800-37 is a framework document. To borrow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military metaphor: FISMA is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy, SP 800-37 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy, SP 800-53 controls are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactics. Do we criticize a campaign strategy because it lacks specificity of how each battle should take place?

The people SP 800-37 mentions are those responsible for overseeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security controls where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactics take place. The specific mention of security controls selection, assessment and reporting are because those are policy requirement of FISMA (Title 44, Chapter 35, Sec. 3544). The continuously monitored security controls are where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring we expect take place.

Here is a short list of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security controls that "make a difference as far as discovering and removing intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise":

AU-2 Auditable Events
AU-3 Content of Audit Records
AU-6 Audit Review, Analysis, and Reporting
SI-3 Malicious Code Protection
SI-4 Information System Monitoring
SI-5 Security Alerts, Advisories, and Directives
SI-7 Software and Information Integrity

There are more (most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AU, IR, SC and SI families) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se meet your criteria best. Controls do not give every detail of how to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general directive. Technology changes too rapidly and needs are too varied to do that. The controls specify a goal and a general methodology but leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detail to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security professionals.

Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incident Response family as an example. The family's controls require incident response policy be established, handling mechanism established, training provided, monitoring conducted, reporting, assistance provided and response plan created. The details however are left to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. NIST doesn't know ahead of time what precisely is needed or what current technology will be best for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation so it provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement in general terms. They provide additional guidance to help implementation (in this case SPs 800-50, 800-61, 800-84 and 800-115). The guy doing FISMA compliance evaluates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of those Incident Response security controls. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't implemented commensurate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk associate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail.

So idiots doing security still means you get some level of idiocy in implementation. NIST provides more than enough guidance to do it correctly but human fallibility is still a factor. I've yet to see any methodology in any field that eradicates human fallibility. The most provably correct OS will still fail if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer is hacked with an ax. But with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST SP 800-37 strategy of continuous monitoring someone periodically and independently assesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of those security controls.

Still, I haven't heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposal that systematically addresses all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security concerns of organizations and systems. Responding to attackers is an important aspect of security but casting it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entirety of security practice is a poor policy that results in poor practice.

Have a happy Thanksgiving Richard, Marcus and everyone else!

daily picture said...

"cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST document is not intended to recommend or design specific controls."

Then what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of SP800-53: "RECOMMENDED Security Controls for Federal Information Systems and Organizations".

SP800-53 is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core documents that make up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RMF.

DAC said...

As a security lead in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 energy sector dealing with NERC CIP, I can tell you that compliance is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current trend, even at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of security. My team has pushed past this compliance mentality within our organization, focusing on real security, including continuous monitoring. It’s been difficult because we do not have sufficient staff to do all that should be done to properly protect this organization’s Critical Infrastructure Assets.

Having worked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security space for a very long time, I continue to see a complete, utter absence of STAFFING MODELS that provide some recommended staffing levels for security staff. I can deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest, greatest security technology, pay out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 butt to get it tuned and providing actionable data, but if I don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skill sets to actually USE cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it’s a complete waste of time. But we are compliant…

People are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to continuous monitoring and we, like so many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal microscope, can not get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bodies to meet eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compliance or continuous security monitoring requirements properly. NIST, DHS, DOE, Industry, SOMEONE, needs to conduct (and continually revise) a study of staffing resources and skill sets needed to successfully implement and manage security controls and conduct continuous monitoring.

Bueler…… Bueler…… Bueler…

ERowley said...

I'm astonished at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things being said here. I'm a complete novice in this area equipped with just skimmings of NIST 800-37, 53/A, FIPS 199, FIPS 200, FISMA, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP CBK. One of my relatives, a federal CISO, has always been recommending literacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST 800 series as a pathway to a cybersecurity career. Here I see seasoned professionals debating and criticizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se things. Pray tell seasoned security professionals, what things, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 800 series and FISMA, are worth reading for competency in federal info sec? I have a linux sysadmin background.

ERowley said...

@ DAC I've heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been an initiative in congress to bring direct-hire abilities to federal info sec managers. Hopefully this will go through and give you some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staffing abilities you need.