Tuesday, June 30, 2015

My Security Strategy: The "Third Way"

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two weeks I listened to and watched all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearings related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OPM breach. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exchanges between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 witnesses and legislators, I noticed several cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes. One presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation facing OPM (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Federal agencies) as confronting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following choice:

You can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) "secure your network," which is very difficult and going to "take years," due to "years of insufficient investment," or 2) suffer intrusions and breaches, which is what happened to OPM.

This struck me as an odd dichotomy. The reasoning appeared to be that because OPM did not make "sufficient investment" in security, a breach was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if OPM had "sufficiently invested" in security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would not have suffered a breach.

I do not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation in this way, for two main reasons.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a difference between an "intrusion" and a "breach." An intrusion is unauthorized access to a computing resource. A breach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, alteration, or destruction of that computing resource, following an intrusion.

It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore follows that one can suffer an intrusion, but not suffer a breach.

One can avoid a breach following an intrusion if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team can stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary before he accomplishes his mission.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no point at which any network is "secure," i.e., intrusion-proof. It is more likely one could operate a breach-proof network, but that is not completely attainable, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Still, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most effective strategy is a combination of preventing as many intrusions as possible, complemented by an aggressive detection and response operation that improves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of avoiding a breach, or at least minimizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of a breach.

This is why I call "detection and response" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "third way" strategy. The first way, "secure your network" by making it "intrusion-proof," is not possible. The second way, suffer intrusions and breaches, is not acceptable. Therefore, organizations should implement a third way strategy that stops as many intrusions as possible, but detects and responds to those intrusions that do occur, prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir progression to breach status.

My Prediction for Top Gun 2 Plot

We've known for about a year that Tom Cruise is returning to his iconic "Maverick" role from Top Gun, and that drone warfare would be involved. A few days ago we heard a few more details in this Collider story:

[Producer David Ellison]: There is an amazing role for Maverick in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no Top Gun without Maverick, and it is going to be Maverick playing Maverick. It is I don’t think what people are going to expect, and we are very, very hopeful that we get to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie very soon. But like all things, it all comes down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, and Justin is writing as we speak.

[Interviewer]; You’re gonna do what a lot of sequels have been doing now which is incorporate real use of time from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one to now.

ELLISON and DANA GOLDBERG: Absolutely...

ELLISON:  As everyone knows with Tom, he is 100% going to want to be in those airplanes shooting it practically. When you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of dogfighting, what’s interesting about it is that it’s not a world that exists to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same degree when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original movie came out. This world has not been explored. It is very much a world we live in today where it’s drone technology and fifth generation fighters are really what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Navy is calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last man-made fighter that we’re actually going to produce so it’s really exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of an era of dogfighting and fighter pilots and what that culture is today are all fun things that we’re gonna get to dive into in this movie.

What could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plot involve?

First, who is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary? You can't have dogfighting without a foe. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leading candidates:

  • Russia: Maybe. Nobody is fond of what President Putin is doing in Ukraine.
  • Iran: Possible, but Hollywood types are close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Democrats, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not likely want to upset Iran if Secretary Kerry secures a nuclear deal.
  • China: No way. Studios want to release movies in China, and despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of aerial conflict in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 East or South China Seas, no studio is going to make China cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 studio will want to promote China as a good guy to please that audience.
  • North Korea: No way. Prior to "The Interview," this was a possibility. Not anymore!
My money is on an Islamic terrorist group, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unnamed, or possibly Islamic State. They don't have an air force, you say? This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drone angle comes into play.

Here is my prediction for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top Gun 2 plot.

Oil tankers are trying to pass through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gulf of Aden, or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strait of Hormuz, carrying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir precious cargo. Suddenly a swarm of small, yet armed, drones attack and destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convoy, setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oil ablaze in a commercial and environmental disaster. The stock market suffers a huge drop and gas prices skyrocket.

The US Fifth Fleet, and its Chinese counterpart, performing counter-piracy duties nearby, rush to rescue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survivors. They set up joint patrols to guard ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r commercial sea traffic. Later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic group sends anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r swarm of drones to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American and Chinese ships. This time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy includes some sort of electronic warfare-capable drones that jam US and Chinese GPS, communications, and computer equipment. (I'm seeing a modern "Battlestar Galactica" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me here.) American and Chinese pilots die, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ships are heavily damaged. (By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, this is Hollywood, not real life.)

The US Navy realizes that its "net-centric," "technologically superior" force can't compete with this new era of warfare. Cue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 similarities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pre-Fighter Weapons School, early Vietnam situation described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first scenes at Miramar in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original movie. (Remember, a 12-1 kill ratio in Korea, 3-1 in early Vietnam due to reliance on missiles and atrophied dogfighting skills, back to 12-1 in Vietnam after Top Gun training?)


The US Navy decides it needs to bring back someone who thinks unconventionally in order to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drone threat and resume commercial traffic in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gulf. They find Maverick, barely hanging on to a job teaching at a civilian flight school. His personal life is a mess, and he was kicked out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Gulf War in 1991 for breaking too many rules. Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy wants him to teach a new generation of pilots how to fight once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "net-centric crutches" disappear.

You know what happens next. Maverick returns to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy as a contractor. Top Gun is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Naval Strike and Air Warfare Center (NSAWC) at NAS Fallon, Nevada. The Navy retired his beloved F-14 in 2006, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a choice to be made about what aircraft awaits him in Nevada. I see three possibilities:

1) The Navy resurrects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-14 because it's "not vulnerable" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drone electronic warfare. This would be cool, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't going to be able to fly American F-14s due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir retirement. CGI maybe?

2) The Navy flies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new F-35, because it's new and cool. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy will probably not have any to fly. CGI again?

3) The Navy flies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-18. This is most likely, because producers could film live operations as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1980s.

Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft issues, I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes involving relevance as one ages, re-integration with military culture, and possibly friction between members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 joint US-China task force created to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic threat.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ingenuity of Maverick's teaching and tactics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans and Chinese prevail over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic forces. It might require Maverick to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate sacrifice, showing he's learned that warfare is a team sport, and that he really misses Goose. The Chinese name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next aircraft carrier cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Pete Mitchell" in honor of Maverick's sacrifice. (Forget calling it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Maverick" -- too much rebellion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCP.)

I'm looking forward to this movie.

Saturday, June 27, 2015

Hearing Witness Doesn't Understand CDM

This post is a follow up to this post on CDM. Since that post I have been watching hearings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OPM breach.

On Wednesday 24 June a Subcommittee of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Homeland Security held a hearing titled DHS’ Efforts to Secure .Gov.

A second panel (starts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webcast around 2 hours 20 minutes) featured Dr. Daniel M. Gerstein, a former DHS official now with RAND, as its sole witness.

During his opening statement, and in his written testimony, he made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following comments:

"The two foundational programs of DHS’s cybersecurity program are EINSTEIN (also called EINSTEIN 3A) and CDM. These two systems are designed to work in tandem, with EINSTEIN focusing on keeping threats out of federal networks and CDM identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are inside government networks.

EINSTEIN provides a perimeter around federal (or .gov) users, as well as select users in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .com space that have responsibility for critical infrastructure. EINSTEIN functions by installing sensors at Web access points and employs signatures to identify cyberattacks.

CDM, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, is designed to provide an embedded system of sensors on internal government networks. These sensors provide real-time capacity to sense anomalous behavior and provide reports to administrators through a scalable dashboard. It is composed of commercial-off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf equipment coupled with a customized dashboard that can be scaled for administrators at each level." (emphasis added)

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text in bold is false. CDM is not "identifying [threats] when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in inside government networks." CDM is not "an embedded system of sensors on internal government networks" looking for threat actors.

Why does Dr. Gerstein so misunderstand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program? The answer is found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next section of his testimony, reproduced below.

"CDM operates by providing

          federal departments and agencies with capabilities and tools that identify
          cybersecurity risks on an ongoing basis, prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se risks based upon
          potential impacts, and enable cybersecurity personnel to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
          most significant problems first. Congress established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program
          to provide adequate, risk-based, and cost-effective cybersecurity and
          more efficiently allocate cybersecurity resources." (emphasis added)

The indented section is reproduced from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM Website, as footnoted in Dr. Gerstein's statement.

The answer to my question of misunderstanding involves two levels of confusion.

The first level of confusion is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description, which confuses risks with vulnerabilities. Basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description should say vulnerabilities instead of risks. CDM, now known as Continuous Diagnostics and Mitigation, is a "find and fix flaws (i.e., vulnerabilities) faster" program.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description should say:

"CDM gives federal departments and agencies with capabilities and tools that identify cybersecurity vulnerabilities on an ongoing basis, prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities based upon potential impacts, and enable cybersecurity personnel to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant problems first."

The second level of confusion is a result of Dr. Gerstein confusing risks with threats. It is clear that when Dr. Gerstein reads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description and its mention of "risks," he thinks CDM is looking for threat actors. CDM does not look for threat actors; CDM looks for vulnerabilities. Vulnerabilities are flaws in software or configuration that make it possible for intruders to gain unauthorized access.

As I wrote in my CDM post, we absolutely need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to find and fix flaws faster. We need CDM. However, do not confuse CDM with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational capability to detect and remove threat actors. CDM could be deployed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but it would be an accident if a security analyst noticed an intruder using a CDM tool.

Essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government needs to implement My Federal Government Security Crash Program to detect and remove threat actors.

It is critical that staffers, lawmakers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public understand what is happening, and not be lulled into a false sense of security due to misunderstanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts.

Saturday, June 20, 2015

The Tragedy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg Code Issue

Last week I Tweeted about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg "code" issue. I said I didn't know how to think about it. The issue is a 28,000+ word document, enough to qualify as a book, that's been covered by news outlets like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Huffington Post.

I approached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document with an open mind. When I opened my mail box last week, I didn't expect to get a 112 page magazine devoted to explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of software to non-technical people. It was a welcome surprise.

This morning I decided to try to read some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. (It's been a busy week.) I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents, shown at left. It took me a moment, but I realized none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article titles mentioned security.

Next I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online edition, which contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire print version and adds additional content. I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "security." These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results:

Security research specialists love to party.

I have been asked if I was physical security (despite security wearing very distinctive uniforms),” wrote Erica Joy Baker on Medium.com who has worked, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places, at Google.

Can we not rathole on Mailinator before we talk overall security?

We didn’t talk about password length, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of letters and symbols necessary for passwords to be secure, or whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r our password strategy on this site will fit in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall security profile of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of a different division. 

Ditto many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security concerns that arise when building websites, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical abuses people perpetrate.

“First, I needed to pass everything through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team, which was five months of review,” TMitTB says, “and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it took me weeks to get a working development environment, so I had my developers sneaking out to Starbucks to check in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code. …”

In Fortran, and I ask to see your security clearance.

If you're counting, that's eight instances of "security" in seven sentences. There's no mention of "software security." There's a small discussion about "e-mail validation," but it's printed to show how broken software development meetings can be.

Searching for "hack" yields two references to "Hacker News" and this sentence talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perils of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PHP programming language:

Everything was always broken, and people were always hacking into my sites.

There is one result for "breach," but it has nothing to do with security incidents. The only time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "incident" appears is in a sentence talking about programming conference attendees behaving badly.

In brief, a 112 page magazine devoted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of software has absolutely nothing useful to say about software security. Arguably, it says absolutely nothing on software security.

When someone communicates, what he or she doesn't say can be as important as what he or she does say.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of this magazine, it's clear that software security is not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professional programmer who wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. It's also not a concern of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editor or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team that contributed to it.

From what I have seen, that neglect is not unique to Bloomberg.

That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tragedy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg code issue, and it remains a contributing factor to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decades of breaches we have been suffering.

Friday, June 19, 2015

Air Force Enlisted Ratings Remain Dysfunctional

I just read Firewall 5s are history: Quotas for top ratings announced in Air Force Times. It describes an effort to eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "firewall 5" policy with a new "forced distribution" approach:

The Air Force's old enlisted promotion system was heavily criticized by airmen for out-of-control grade inflation that came with its five-point numerical rating system. There were no limits on how many airmen could get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum: five out of five points [aka "firewall 5"]. As a result nearly everyone got a 5 rating.

As more and more raters gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir airmen 5s on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir EPR [ Enlisted Performance Report], cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall 5 became a common occurrence received by some 90 percent of airmen. And this meant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old EPR was effectively useless at trying to differentiate between levels of performance...

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, [Brig. Gen. Brian Kelly, director of military force management policy] said in a June 12 interview at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numerical ratings are gone — and firewall 5s will be impossible...

The quotas — or as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, "forced distribution" — will be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final elements to be put in place in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service's massive overhaul of its enlisted promotion process, which has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 works for three years...

Only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 5 percent, at most, of senior airmen, staff sergeants and technical sergeants who are up for promotion to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next rank will be deemed "promote now" and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full 250 EPR points...

The quotas for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next tier of airmen — who will be deemed "must promote" and will get 220 out of 250 EPR points — will differ based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rank. Kelly said that up to 15 percent of senior airmen who are eligible for promotion to staff sergeant can receive a "must promote" rating, and up to 10 percent of staff sergeants and tech sergeants up for promotion to technical and master sergeant can get that rating, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accompanying 220 points.

The next three ratings — "promote," "not ready now" and "do not promote" — will each earn airmen 200, 150 and 50 points, respectively. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be no limit on how many airmen can get those ratings. (emphasis added)

I am not an expert on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enlisted performance rating system. In some ways, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EPR is superior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding system for officers, because enlisted personnel take tests whose scores influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir promotion potential.

However, upon reading this story, it reminded me of my 2012 post How to Kill Teams Through "Stack Ranking", which cited a Vanity Fair article about Microsoft's old promotion system:

[Author Kurt] Eichenwald’s conversations reveal that a management system known as “stack ranking” — a program that forces every unit to declare a certain percentage of employees as top performers, good performers, average, and poor — effectively crippled Microsoft’s ability to innovate.

“Every current and former Microsoft employee I interviewed — every one — cited stack ranking as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most destructive process inside of Microsoft, something that drove out untold numbers of employees,” Eichenwald writes.

This sounds uncomfortably like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Air Force enlisted "forced distribution" system.

I was also reminded of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of my 2012 posts, Bejtlich's Thoughts on "Why Our Best Officers Are Leaving", which stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finding that

[V]eterans were shocked to look back at how “archaic and arbitrary” talent management was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 armed forces. Unlike industrial-era firms, and unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, successful companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge economy understand that nearly all value is embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir human capital. (emphasis added)

I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is doing what it thinks is right by changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EPR system. However, it's equivalent to making changes in a centrally planned economy, without abandoning central planning.

It's time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, discard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir centrally-planned, promote-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-paper (instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person), involuntary assignment process.

In its place I recommend one that openly and competitively advertises and offers positions; gives pay, hiring, and firing authority to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local manager; and adopts similar aspects of sound private sector personnel management.

Today's knowledge economy demands that military personnel be treated as unique individuals, not industrial age interchangeable parts. Our military talent is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few competitive advantages we possess over peer rivals. We must not squander it with dysfunctional promotion systems.


Saturday, June 13, 2015

Redefining Breach Recovery

For too long, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of "breach recovery" has focused on returning information systems to a trustworthy state. The purpose of an incident response operation was to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent of a compromise, remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder if still present, and return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business information systems to pre-breach status. This is completely acceptable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing architecture.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last ten years we have witnessed an evolution in thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of breaches. When I published my first book in 2004, critics complained that my "assumption of breach" paradigm was defeatist and unrealistic. "Of course you could keep intruders out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, if you combined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right controls and technology," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y claimed. A decade of massive breaches have demonstrated that preventing all intrusions is impossible, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right combination of adversary skill and persistence, and lack of proper defensive strategy and operations.

We need to now move beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arena of breach recovery as a technical and computing problem. Every organization needs to think about how to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interests of its constituents, should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data to an adversary. Data custodians need to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business practices such that breaches are survivable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 constituent. (By constituent I mean customers, employees, partners, vendors -- anyone dependent upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practices of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data custodian.)

Compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following scenarios.

If an intruder compromises your credit card, it is fairly painless for a consumer to recover. There is a $50 or less financial penalty. The bank or credit card company handles replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 card. Credit monitoring and related services are generally adequate for limiting damage. Your new credit card is as functional as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old credit card.

If an intruder compromises your Social Security number, recovery may not be possible. The financial penalties are unbounded. There is no way to replace a stolen SSN. Credit monitoring and related services can only alert citizens to derivative misuse, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim must do most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work to recover -- if possible. The citizen is at risk wherever ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data custodians rely on SSNs for aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication purposes.

This SSN situation, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, must change. All organizations who act as data custodians must evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir control, and work to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach recovery status for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir constituents. For SSNs, this means eliminating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir secrecy as a means of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication. This will be a massive undertaking, but it is necessary.

It's time to redefine what it means to recover from a breach, and put constituent benefit at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter, where it belongs.

Wednesday, June 10, 2015

My Federal Government Security Crash Program

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of recent intrusions into government systems, multiple parties have been asking for my recommended courses of action.

In 2007, following public reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 State Department breach, I blogged When FISMA BitesInitial Thoughts on Digital Security Hearing. and What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do. These posts captured my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department intrusion.

The situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n mirrors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current one well: outrage over an intrusion affecting government systems, China suspected as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, and questions regarding why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's approach to security does not seem to be working.

Following that breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department hired a new CISO who pioneered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "continuous monitoring" program, now called "Continuous Diagnostic Monitoring" (CDM). That CISO eventually left State for DHS, and brought CDM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. He is now retired from Federal service, but CDM remains. Years later we're reading about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OPM intrusions. CDM is not working.

My last post, Continuous Diagnostic Monitoring Does Not Detect Hackers, explained that although CDM is a necessary part of a security program, it should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority. CDM is at heart a "Find and Fix Flaws Faster" program. We should not prioritize closing and locking doors and windows while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Accordingly, I recommend a "Detect and Respond" strategy first and foremost.

To implement that strategy, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, three-phase approach. All phases can run concurrently.

Phase 1: Compromise Assessment: Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government can muster cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and authority, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Management and Budget (OMB), or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency such as DHS, should implement a government-wide compromise assessment. The compromise assessment involves deploying teams across government networks to perform point-in-time "hunting" missions to find, and if possible, remove, intruders. I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "remove" part will be more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se teams can handle, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of what I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will find. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, simply finding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders, or a decent sample, should inspire additional defensive activities, and give authorities a true "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

Phase 2: Improve Network Visibility: The following five points include actions to gain enhanced, enduring, network-centric visibility on Federal networks. While network-centric approaches are not a panacea, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best balances between cost, effectiveness, and minimized disruption to business operations.

1. Accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployment of Einstein 3A, to instrument all Federal network gateways. Einstein is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government's network visibility problem, but given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current situation, some visibility is better than no visibility. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inline, "intrusion prevention system" (IPS) nature of Einstein 3A is being used as an excuse for slowly deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS capability should be disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion detection system" (IDS) mode should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default. Waiting until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2016 is not acceptable. Equivalent technology should have been deployed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

2. Ensure DHS and US-CERT have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to provide centralizing monitoring of all deployed Einstein sensors. I imagine bureaucratic turf battles may have slowed Einstein deployment. "Who can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is probably foremost among agency worries. DHS and US-CERT should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home for centralized analysis of Einstein data. Monitored agencies should also be given access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and DHS, US-CERT, and agencies should begin a dialogue on whom should have ultimately responsibility for acting on Einstein discoveries.

3. Ensure DHS and US-CERT are appropriately staffed to operate and utilize Einstein. Collected security data is of marginal value if no one is able to analyze, escalate, and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. DHS and US-CERT should set expectations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time that should elapse from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of collection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of analysis, and staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team to meet those requirements.

4. Conduct hunting operations to identify and remove threat actors already present in Federal networks. Now we arrive at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion operation. The purpose of improving network visibility with Einstein (for lack of an alternative at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment) is to find intruders and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This operation should be conducted in a coordinated manner, not in a whack-a-mole fashion that facilitates adversary persistence. This should be coordinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" mission in Phase 1.

5. Collect metrics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion campaign and devise follow-on actions based on lessons learned. This operation will teach Federal network owners lessons about adversary campaigns and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfortunate realities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. They must learn how to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed, accuracy, and effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defensive campaign, and how to prioritize countermeasures that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent. I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would begin considering additional detection and response technologies and processes, such as enterprise log management, host-based sweeping, modern inspection platforms with virtual execution and detonation chambers, and related approaches.

Phase 3. Continuous Diagnostic Monitoring, and Related Ongoing Efforts: You may be surprised to see that I am not calling for an end to CDM. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, CDM should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of Federal security measures. It is important to improve Federal security through CDM practices, such that it becomes more difficult for adversaries to gain access to government computers. I am also a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Internet Connection program, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is consolidating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Note: I recommend anyone interested in details on this matter see my latest book, The Practice of Network Security Monitoring, especially chapter 9. In that chapter I describe how to run a network security monitoring operation, based on my experiences since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

Tuesday, June 09, 2015

Continuous Diagnostic Monitoring Does Not Detect Hackers

There is a dangerous misconception coloring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Personnel Management (OPM), I have been discussing countermeasures with many parties. Concerned officials, staffers, and media have asked me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein and Continuous Diagnostic Monitoring (CDM) programs. It has become abundantly clear to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a fundamental misunderstanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of CDM. This post seeks to remedy that problem.

The story Federal cyber protection knocked as outdated, behind schedule by Cory Bennett unfortunately encapsulates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misunderstanding about Einstein and CDM:

The main system used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government to protect sensitive data from hacks has been plagued by delays and criticism that it is already outdated — months before it is even fully implemented.

The Einstein system is intended to repel cyberattacks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one revealed last week by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Personnel Management (OPM)...

Critics say Einstein has been a multibillion-dollar boondoggle that is diverting attention away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security overhaul that is needed...

To offset those shortcomings, officials in recent years started rolling out a Continuous Diagnostics and Mitigation (CDM) program, which searches for nefarious actors once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks. It’s meant to complement and eventually integrate with Einstein. (emphasis added)

The section I bolded and underlined is 100% false. CDM does not "search" for "nefarious actors" "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks." CDM is a vulnerability management program. Please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper left. It depicts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 six phases of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program:

  1. Install/update "sensors." (More on this shortly)
  2. Automated search for flaws.
  3. Collect results from departments and agencies.
  4. Triage and analyze results.
  5. Fix worst flaws.
  6. Report progress.
CDM searches for flaws (i.e., vulnerabilities), and Federal IT workers are supposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flaws. The "sensors" mentioned in step 1 are vulnerability management and discovery platforms. They are not searching for intruders. You could be forgiven for misunderstanding what "sensor" means. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM page:


The CDM program enables government entities to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir continuous diagnostic capabilities by increasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network sensor capacity, automating sensor collections, and prioritizing risk alerts.

Again, "sensor" here does not mean "sensing" to find intruders. The next paragraph says:

CDM offers commercial off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf (COTS) tools, with robust terms for technical modernization as threats change. First, agency-installed sensors perform an automated search for known cyber flaws. Results feed into a local dashboard that produces customized reports, alerting network managers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir worst and most critical cyber risks based on standardized and weighted risk scores. Prioritized alerts enable agencies to efficiently allocate resources based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk. Progress reports track results, which can be used to compare security posture among department/agency networks.  Summary information can feed into an enterprise-level dashboard to inform and situational awareness into cybersecurity risk posture across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government.


The "situational awareness" here means configuration and patch status, not intrusion status.

I captured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CMD figure from US-CERT's Continuous Diagnostic Monitoring program overview (pdf). It also appears on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM page. The US-CERT program Web page lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core tools used for CDM as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • Intro to Hardware Asset Management (HWAM)
  • Intro to Software Asset Management (SWAM)
  • Intro to Vulnerability Management (VUL)
  • Intro to Configuration Settings Management (CSM)

As you can see, CDM is about managing infrastructure, not detecting and responding to intruders. Don't be fooled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitoring" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term CDM; "monitoring" here means looking for flaws.

In contrast, Einstein is an intrusion detection and prevention platform. It is a network-based system that uses threat signatures to identify indications of compromise observable in network traffic. Einstein 1 and 2 were more like traditional IDS technologies, while Einstein 3 and 3 accelerated are more like IDP technologies. 

Critics of my characterization might say "CDM is more than faster patching." According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSA page on CDM, CDM as I described earlier is only phase 1:
Endpoint Integrity
  • HWAM – Hardware Asset Management
  • SWAM – Software Asset Management
  • CSM – Configuration Settings Management
  • VUL – Vulnerability Management

Phase 2 will include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Least Privilege and Infrastructure Integrity
  • TRUST –Access Control Management (Trust in People Granted Access)
  • BEHAVE – Security-Related Behavior Management
  • CRED – Credentials and Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Management
  • PRIV – Privileges

Phase 3 will include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Boundary Protection and Event Management for Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Lifecycle
  • Plan for Events
  • Respond to Events
  • Generic Audit/Monitoring
  • Document Requirements, Policy, etc.
  • Quality Management
  • Risk Management
  • Boundary Protection – Network, Physical, Virtual

What do you not see listed in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se phases? Aside from "respond to events," which does not appear to mean intrusions, I still see no strong focus on detecting and responding to intrusions. CDM beyond phase 1 is still just dealing with "cyber hygiene." Unfortunately, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President does not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper strategic focus. As reported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hill:

President Obama acknowledged that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States’s problems is that it has a “very old system.”

“What we are doing is going agency by agency and figuring out what can we fix with better practices and better computer hygiene by personnel, and where do we need new systems and new infrastructure in order to protect information,”

Don't misunderstand my criticism of CDM as praise for Einstein. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, Einstein, or a technology like it, should have been deployed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government while I was still in uniform, 15 years ago. We had equivalent technology in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force 20 years ago. (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword for my latest book online for history.)

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, I'm not saying that CDM is a bad approach. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM phases are needed. I understand that intruders are going to have an easy time getting back into a poorly secured network.

My goal with this post is to show that CDM is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r being sold as, or misunderstood as, a way to detect intruders. CDM is not an intrusion detection program; CDM is a vulnerability management program, a method to Find and Fix Flaws Faster. CDM should have been called "F^4, F4, or 4F" to capture this strategic approach.

The focus on CDM has meant intruders already present in Federal networks are left to steal and fortify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions, while scarce IT resources are devoted to patching. The Feds are identifying and locking doors and windows while intruders are inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house.

It's time for a new (yet ideologically very old) strategy: find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n conduct counter-intrusion campaigns to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y inevitably return. CDM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real "multibillion-dollar boondoggle that is diverting attention away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security overhaul that is needed." The OPM breach is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest consequence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misguided CDM-centric strategy.