Sunday, September 12, 2010

Someone Is Not Paying Attention

I enjoy reading InformationWeek because it gives me a chance to keep in touch with broader IT trends, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is usually solid. The cover story for last week's issue was End Users: Ignore Them At Your Peril (sorry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 odd link; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original is here but requires registration). I started reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article by Michael Healey of Yeoman Technology Group, but quickly realized Mr Healey is clearly out of touch with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern security environment. He writes:

Too many IT teams think of security as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir trump card to stop any discussion of emerging tech deemed too risky...

Are we really less secure than we were 10 years ago? Probably not. Much like watching cable news will make you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is burning and people are coming to snatch your kids, today's level of security awareness has altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 psyche of IT.

This new awareness is coupled with very real regulatory requirements, such as new Massachusetts privacy laws that require tougher disclosure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a security breach or problem.

It's no wonder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security folks are so jumpy. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message that CIOs need to hear: Security is working. It's been more than a decade (yes, 10 years) since any particular security flaw has had a truly widespread impact. The Melissa and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ILoveYou attacks were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last.

We're not proposing you drop your guard. Security is a good reason to stop a project that's too risky. But if you've built an effective IT security model that combines base protection, active monitoring, and proactive management, and you stay tied into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall industry, your chances of a major failure are slim.

Congratulate your security team for once and see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can start moving out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir foxholes and figure out how to add some new devices and capabilities.


Feel free to stop laughing now, if you can. Clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time Mr Healey paid attention to anything involving security was a decade ago, if all he can cite are "Melissa and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ILoveYou attacks." It sounds like he's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foxhole, supposedly safe while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world around him continues to be in turmoil.

There's so many ways to refute his point of view, but let me close with a really simple idea. Security is simultaneously global and local. Failures can occur at eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r level. Many organizations care more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global because local failures are more likely to impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m directly. They tend to care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global only when it affects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, even if no global security failure takes place (like a worm affecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole Internet), local security issues will still occupy a lot of security time and resources. The inability to point to a global failure (even correcting for ignorance) says nothing about local security problems.

11 comments:

dre said...

OH NO HE DI'INT!!!

Anonymous said...

Yes, foxhole is safer because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet nor wireless network cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Don Gray said...

Rich,

In general I agree wholeheartedly with your comments, however I am at a loss to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention given to and apparent impact (on at least a couple of big organizations) by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Here you have", "Just for You" "virus".

I can't for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 life of me figure out how in 2010 organizations like NASA are getting impacted by viruses contained in .SCR files.

Thankfully very few of our customers seem to have been minimally impacted but clearly some organizations have fallen down when it comes to things like security awareness and basic gateway filtering and blocking.

Yes it was a 0-day variant, I get that, but don't click on unsolicited files!!! And as benign as it seems at first, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaving of (.img.scr) droppings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network shares seems to have posed a real challenge to some organizations.

So as much as I want to agree that security is working, I think it is very easy to take a "security expert" centric view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. A world where large, process driven organizations that support life-critical missions still get impacted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics.

Anonymous said...

10 years? What about MS06-067/Conficker? That had very widespread effects indeed.

Anonymous said...

Healey's position based on those virus outbreaks is a scary one, and one I've heard bandied about now and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.

It's true, those incidents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past were probably watershed moments where a few viruses and worms exposed poor configurations/practices and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire userbase of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business feel it immediately.

Small pieces improve over time, but that doesn't mean suddenly we can relax or that security has improved. Someone is making a pretty large leap of logic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

In addition, it's not like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability isn't present today. In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only reason we don't see anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r widespreading Melissa or ILoveYou is because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers don't want to just be a pest like those attacks were. But I guess in Healey's world, botnets just form on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own.

Besides which, I don't see any situations in my own experience that suggest IT's psyche has been altered. They're still operating with security-blinders on unless poked, hard, by regulations and policy.

-LonerVamp

Daniel Lohin said...

I am going to have to say that I agree with one part:

"Too many IT teams think of security as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir trump card to stop any discussion of emerging tech deemed too risky..."

The very first sentence is something that I have been saying. Too many people in security are far too quick to say no to everything because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't want change as change is seen as bad in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security mindset. I have seen situations where security just doesn't want to work and will pile on paper work to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requesting organization.

It is security's job (imo) to figure out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users can do something in a secure manner. I know that in some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final answer will be know, but security needs to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users requirement, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n discuss how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement can be done in a safe manner. Sometimes that means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user won't get everything that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want, but at least you tried to help.

Robert Sullivan said...

The think that strikes me about an article like that is upper management will read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first few lines or so. They'll conclude things are good - never mind all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team is talking about, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y just want more budget.

But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent IBM X-Force Threat Report, for example, shows a different picture. They mention some things Healey isn't aware of apparently - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zeus botnet and PDF attacks, to name just a few. To quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir web site: "Reported vulnerabilities are at an all time high, up 36%."
http://www-935.ibm.com/services/us/iss/xforce/trendreports/

Nick Chapman said...

That attitude is not unusual. I recall seeing a story on anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog railing against overly restrictive security policies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work place. I was forced to stopped reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post after I fell out of my chair laughing.

The author demanded that power users be allowed to install "proven safe technologies, like Adobe reader and flash".

Just like with physical security, most people are simply unaware how easy it is to bypass controls.

Mark Kelly said...

I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original article writer's mindset to be very common. They are still viewing security with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more "secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter" and prevent virus/worm mentality vs where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impactful threats are right now which is losing trade secrets that are vital to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survival of a business.

Robert Sullivan said...

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is upper management will read this and get a rosy picture of security, and wonder what all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuss is about from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security folks.

Anonymous said...

"proven safe technologies, like Adobe reader and flash"
and "proven productivity enhancement technologies, like Facebook".