Sunday, September 05, 2010

One Page to Share with Your Management

I thought this brief question-and-answer session, Richard Clarke: Preparing For A Future Cyberwar by Kim S. Nash extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence of advanced persistent threat problems and how to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I'd like to publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole article, but instead I'll highlight my favorite sections:

Nash: How can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government protect companies?

Clarke: Do more. As a matter of law and policy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government should actively counter industrial espionage.

Most U.S. government counterintelligence operations are focused on intelligence against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, not companies, and most of those are focused on spies. It's a very 20th-century approach.

Until someone makes law or policy changes that say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Cyber Command can defend AT&T or Bank of America, it doesn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal authority to do that. I think it should. The government also has to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to corporations.


Also:

Clarke: Until CEOs and boards of directors are faced with black-and-white evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have lost a terabyte of information and that this has resulted in some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company beating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to market, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir noses rubbed in it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're reluctant to do anything special...

Often, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO really needs board-level commitment and CEO commitment, not just of resources but to policies necessary for protection. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, all people want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO to do is keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network up and costs down. As a result, many CIOs have been hired for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expertise in those areas, not for expertise in figuring out how to make a resilient network that resists attack.


Finally:

Clarke: It should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government's responsibility to tell companies not only when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been attacked but when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have been, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize this sort of thing is going on...

[S]ometimes companies don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked. But frequently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact. You don't know you've lost information until a knockoff of your product or some competing products start showing up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 marketplace.


I agree with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sentiments.

Incidentally I started read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 library copy of Cyber War but decided I needed to take notes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 margins. So, I bought a copy from Amazon.com. I plan to finish it and review it by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 month.

11 comments:

David said...

Odd, I was sure I had seen a luke warm review of 'Cyber War' on your blog awhile ago. I actually picked it up myself, mainly because it looked like a thin book that executive level folks would read and get excited about.

Very interested to see your opinion/review of it!

Christopher Porter said...

"[S]ometimes companies don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked. But frequently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact. You don't know you've lost information until a knockoff of your product or some competing products start showing up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 marketplace."

Great point made here and very similar to what we (Verizon) have seen in our DBIR series. Usually a company doesn't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have been breached until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are notified by a 3rd party. The 3rd party discovers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker fradulently uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data that was stolen.

M Ahmed said...

You have done a marvelous job! I am really inspired with your work.

Dan said...

"Clarke: It should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government's responsibility to tell companies not only when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been attacked but when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have been, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize this sort of thing is going on..."

I agree with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sentiments.


I don't. :)

1. It's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's place to tell me when my TV has been stolen eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.
2. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with things like Infraguard. The intel you get is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r so generic and sanitized that it is worthless and 6 months out of date, or it is so specific that no one will share it (neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims). It's, IMO, insane to think that companies will willingly share this info with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors or that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be ok with it being shared by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government.

Anonymous said...

Wrong. It's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibility at all. Let bad companies sink and good companies develop security that works. Taxpayers don't have enough money to protect everyone anyway.

David said...

Dan:

In response to 1, when you're TV gets stolen, it's something physical that's taken, that you will be able to easily notice. If someone came into your house, photocopied all of your personal records so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could steal your identity, wouldn't you want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government to let you know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means?

Dremspider said...

I think that it boils down to money on deciding whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government should be responsible for assisting companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. Do you believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government would be able to do defense better and cheaper cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n companies working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own? Governments do have a few advantage, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is shared if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are able to find a particular network attack in one network cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will quickly be able to see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r networks have been exploited or attempted. The big problem I see with this approach is understanding of networks. The government can't and won't be able to have an understanding of every network. Anyone who monitors networks will tell you that you need to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network as well as changes being made to it.

What I would see as working more successfully would be if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government could be responsible for feeding data to businesses. Working with organizations such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Security Foundation are a step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. In this case businesses are still responsible for defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own network but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to share data still exists. Working within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community is better cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n building a new community which is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is trying to do.

Anonymous said...

@Ayesha

If someone steals your TV, you probably know about it. but it's a TV, not like anyone can do anything but try to sell it.

If someone steals your car in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 night while you sleep, goes on a robbery spree, and returns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car later, wouldn't you want to know why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seat was left scooted all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way back? more importantly, why are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re bullet holes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trunk?

Anonymous said...

I couldn't agree with Dan more... its not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's responsibility to control every aspect of our lives. It's that corporation's responsibility to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. If you don't want your research and development department hacked, go hire a network security consultant and charge for your product accordingly. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise me, you and everyone else ends up paying for that corps fault in higher taxes to fund cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra staffing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds have to provide.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most ridiculous stance on corporate network security i have ever read. Why don't we all take a step back and start taking responsibility for our own actions and not rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government for everything. The guy from Verizon above, it's Verizon's fault that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product info was hacked... not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds. Go hire someone that knows what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing.

This cyber war guy may know what he is talking about when it comes to hardening infrastructure, but you need to learn some self-worth and start relying on yourself to accomplish goals. Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government. I'm all about sharing information to make this country a better place, but our legislature is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end all be all to make sure our personal information is safe.

Richard Bejtlich said...

Last anonymous: do you expect companies to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airspace over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office buildings, factories, etc.? I'd like to see some of my tax dollars spent on "provide for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common defense" as mentioned in our Declaration of Independence. If you disagree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airspace comment, please read http://taosecurity.blogspot.com/2007/09/us-needs-cyber-norad.html

Peter Abatan said...

The reason for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 divided views is to be expected, especially coming of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent bank bailouts. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand I do not expect a global corporate like Google to take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 might of China if information espionage agents are involved.

Without a shadow of doubt global organizations would have to invest heavily to actively counter industrial espionage. Persistent security tools would play a dominant role to counter this new warfare. Some organisations get it, and some don't but it only takes a few examples for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations to get it.