Wednesday, November 06, 2019

Seven Security Strategies, Summarized

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of story that starts as a comment on Twitter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes a blog post when I realize I can't fit all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas into one or two Tweets. (You know how much I hate Tweet threads, and how I encourage everyone to capture deep thoughts in blog posts!)

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought, and not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of thinking too deeply or comprehensively (at least right now), I offer seven security strategies, summarized.

When I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation, I'm talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that one can conceptually image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of some negative event using this "formula": Risk (of something) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product of some measurements of Vulnerability X Threat X Asset Value, or R = V x T x A.

  1. Denial and/or ignorance. This strategy assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, because those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assume that one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation are zero or almost zero, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are apacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost.
  2. Loss acceptance. This strategy may assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, or more likely those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of risk realization is low. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, incidents will occur, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is acceptable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.
  3. Loss transferal. This strategy may also assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, but in contrast with risk acceptance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization believes it can buy an insurance policy which will cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of an incident, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy is cheaper than alternative strategies.
  4. Vulnerability elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through secure coding, proper configuration, patching, and similar methods.
  5. Threat elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through deterrence, dissuasion, co-option, bribery, conversion, incarceration, incapacitation, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods that change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent and/or capabilities of threat actors. 
  6. Asset value elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through minimizing data or resources that might be valued by adversaries.
  7. Interdiction. This is a hybrid strategy which welcomes contributions from vulnerability elimination, primarily, but is open to assistance from loss transferal, threat elimination, and asset value elimination. Interdiction assumes that prevention eventually fails, but that security teams can detect and respond to incidents post-compromise and pre-breach. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, some classes of intruders will indeed compromise an organization, but it is possible to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary completes his mission.
As you might expect, I am most closely associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interdiction strategy. 

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denial and/or ignorance and loss acceptance strategies are irresponsible.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss transferal strategy continues to gain momentum with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of cybersecurity breach insurance policies. 

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability elimination strategy is important but ultimately, on its own, ineffective and historically shown to be impossible. When used in concert with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r strategies, it is absolutely helpful.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat elimination strategy is generally beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of private organizations. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state retains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monopoly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of force, usually only law enforcement, military, and sometimes intelligence agencies can truly eliminate or mitigate threats. (Threats are not vulnerabilities.)

I believe asset value elimination is powerful but has not gained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground I would like to see. This is my "If you can’t protect it, don’t collect it" message. The limitation here is obviously one's raw computing elements. If one were to magically strip down every computing asset into basic operating systems on hardware or cloud infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that those assets exist and are networked means that any adversary can abuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for mining cryptocurrencies, or as infrastructure for intrusions, or for any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses of raw computing power.

Please notice that none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies listed tools, techniques, tactics, or operations. Those are important but below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conflict hierarchy. I may have more to say on this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.