Monday, November 30, 2009

Real Security Is Threat-Centric

Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's been a wave of house burglaries in a nearby town during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last month. As you might expect, local residents responded by replacing windows with steel panels, front doors with vault entrances, floors with pressure-sensitive plates, and whatever else "security vendors" recommended. Town policymakers created new laws to mandate locking doors, enabling alarm systems, and creating scorecards for compliance. Home builders decided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y needed to adopt "secure building" practices so all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se retrofitted measures were "built in" future homes.

Oh wait, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world! All those vulnerability-centric measures I just described are what too many "security professionals" would recommend. Instead, police identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals and arrested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. From Teen burglary ring in Manassas identified:

Two suspects questioned Friday gave information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, police said.

Now this crew is facing prosecution. That's a good example of what we need to do in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world: enable and perform threat-centric security. We won't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re until we have better attribution, and interestingly enough attribution is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word I hear most often from people pondering improvements in network security.

10 comments:

Unknown said...

Luckily it's hard to break into houses in Virginia and steal TVs while sitting in an office in Beijing or Moscow. Evidence suggests that breaking into computers in Virgina while sitting in an office in Beijing or Moscow is a lot easier. I'm unclear on how you arrest and prosecute people who essentially work for a foreign government and are protected by that government. What realistic options are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hardening and hoping for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best?

Anonymous said...

I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to attend a workshop on attribution in 2006 put on by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Conflict Studies Association. The topics and ideas discussed and presented are summarized here:

http://it.toolbox.com/blogs/managing-infosec/attribution-and-cyber-conflict-10935

It's my understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are attempting to connect research with policy makers-

"CCSA promotes and leads international intellectual development efforts to advance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of cyber conflict research. These activities include workshops that bring togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r professionals from industry, academia and government to discuss strategic issues surrounding cyber conflict and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication of insightful research articles and position papers in its Journal of Cyber Conflict Studies.

CCSA also plays an important role in our national cyber-readiness strategy, serving as a resource for national security decision-makers and helping to frame and promote national cyber conflict policy."

Interestingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an article dated Nov 14, 2009 and titled "The Cyberwar Plan
It's not just a defensive game; cyber-security includes attack plans too, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. has already used some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m successfully." It contains a quote by Bob Gourley, former CTO for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Intelligence Agency and is a board member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Conflict Studies Association.

Anonymous said...

Whoops, here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Cyberwar Plan article:

http://www.nationaljournal.com/njmagazine/cs_20091114_3145.php

Dremspider said...

I have been thinking of this article since I read it and I would have to say I disagree with this. While I understand that you are being sarcastic and exaggerating a bit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example doesn’t scale well. In my house I have two TVs, a couple of computers and some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r miscellaneous electronics. It would be very difficult to steal all of those without being seen, but even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did my roommate and I would probably lose $4000 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most, plus maybe some damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property. There is no sense in anyone investing more than $4000 in security products to prevent something that may happen and only incur a loss of $4000.

A risk assessment needs to be performed in house security (even if it is only informal). How bad of a neighborhood am I in? How much is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of my products? How likely is someone going to break in? People buy insurance that covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se reasons it makes more sense to spread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to invest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest alarm system.

If you raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, more security is put in place. I am sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Smithsonian’s Hope diamond is protected with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same measures that we do in Information Security. Pen testing, auditing, testing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control mechanisms (I know you hate that word), as well as defense in depth strategies are performed on any physical item of high value and this can be translated to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “Cyber” domain as well.

Information is of value to companies and often can’t be let out. Proper mechanisms policies need to be put in place to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se. To make matters worse it is a lot harder to prosecute someone in a cyber incident. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft in a house cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker must be physically located in one area, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim’s house or office. With any cyber crime, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is often multiple victims as well as paths to follow all across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world.

While it would be nice if we could place more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal, I don’t think that is going to happen anytime soon. The value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 item being protected is too high and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals too dispersed. I doubt that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal will ever be prosecuted as often in cyber crimes as often as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world.

Unknown said...

I fully sympathize with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position that targeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most effective approach to take. But what if someone does not have a reasonable expectation that global cyber attackers will ever be apprehended and punished accordingly?

Likewise, would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expectation of threat apprehension excuse being thrifty with security measures?

If a homeowner is down at town hall arguing for better policework, but leaves his home unlocked in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of a known rash of local burglaries, would he have any liability for that? I realize this road may be subtly wrong, as it leads down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 avenue of blaming someone else for one's own personal responsibility (a personal peeve of mine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90s and 00s). Then again, your above analogy does include racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extreme measures mandated by public office, which does kind of narrow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope. :) Maybe you're just making a statement, not about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 homeowners, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public office demanding private citizens be unreasonable...

Moving furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I'm not sure I would want an Internet that has "real security" through proper attribution, globally. How fundamentally will that change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it has grown and been used? As such, I'm skeptical on how reasonable I can expect it.

This leaves me with being threat-centric as much as my SMB will allow me, and shoring up defenses by being everything that is not threat-centric.

But I do concede that on some level, especially once get high enough with enough clout and influence and jurisdiction, attribution and being threat-centric makes more sense, even if it is unattainable (like almost all police-work).

H. Carvey said...

We won't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re until we have better attribution...

And we won't have better attribution until organizations have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to detect and respond to computer security incidents. After all, how can you attribute something when you didn't know it happened, an outside third party told you about it months after it happened, and in response, your staff wiped out all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence?

Anonymous said...

Directly From: SANS NewsBites Vol. 11 Num. 94. Your Thoughts?


"NIST 800-37 Ends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Era of Federal Certification & Accreditation -
Excellent Beginnings - One More Step To Go.
http://csrc.nist.gov/publications/PubsDrafts.html#800-37_Rev1
The new draft of NIST's Special Publication 800-37 published two weeks ago is open for review. John Gilligan who serve as CIO of both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Energy Department and of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force and who was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's Transition Team Lead for IT and IT Security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Defense has written a brief analysis that illuminates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one key problem that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new document could easily solve, but doesn't. We have included Gilligan's complete analysis here. If you concur with his findings please let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST people before December 15 at sec-cert@nist.gov. If you feel like sharing, we'd love to see your suggestions as well at
NIST80037@sans.org."

Mike Montecillo said...

Great post! It is absolutely dead on. Nothing creates more cost inefficiency in a security strategy than unnecessary countermeasures. In order to understand what is necessary we need to have better attribution.

DanPhilpott said...

Well that's a relief, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police arrested all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thieves. So if I leave my keys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car, front door unlocked and wallet on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lunch counter I can be assured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft won't occur?

Addressing threat-sources is undeniably important, but in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 present world (both online and offline) can not be depended upon. Threats, threat-sources and vulnerabilities are all parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle, but risk based decisions based on those elements are where effective security springs from.

Nope said...

Sweet, so racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identification of an obvious threat as an opportunity to remind myself that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is not a secure place and I should check out my risk posture to see if I'm still comfortable with it, I should rely exclusively on after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact mechanisms (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police will get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m).

That will be very comforting to people who have lost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir possessions.