Monday, May 04, 2020

New Book! The Best of TaoSecurity Blog, Volume 1



I'm very pleased to announce that I've published a new book!

It's The Best of TaoSecurity Blog, Volume 1: Milestones, Philosophy and Strategy, Risk, and Advice. It's available now in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kindle Store, and if you're a member of Kindle Unlimited, it's currently free. I may also publish a print version. If you're interested, please tell me on Twitter.



The book lists at 332 pages and is over 83,000 words. I've been working on it since last year, but I've used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in isolation to carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first volume over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finish line.

The Amazon.com description says:

Since 2003, cybersecurity author Richard Bejtlich has been writing posts on TaoSecurity Blog, a site with 15 million views since 2011. Now, after re-reading over 3,000 posts and approximately one million words, he has selected and republished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very best entries from 17 years of writing.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first volume of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity Blog series, Bejtlich addresses milestones, philosophy and strategy, risk, and advice. Bejtlich shares his thoughts on leadership, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's dilemma, managing burnout, controls versus assessments, insider versus outsider threats, security return on investment, threats versus vulnerabilities, controls and compliance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post that got him hired at a Fortune 5 company as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first director of incident response, and much more.

He has written new commentaries to accompany each post, some of which would qualify as blog entries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own right.  Read how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry, defensive methodologies, and strategies to improve career opportunities have evolved in this new book, written by one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors who has seen it all and survived to blog about it.

Finally, if you're interested in subsequent volumes, I have two planned.


I may also have a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book projects in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pipeline. I'll have more to say on that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming weeks.

If you have any questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, let me know. Currently you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Look Inside" function, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a sample that lets you download and read some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Enjoy!

Tuesday, April 07, 2020

If You Can't Patch Your Email Server, You Should Not Be Running It

CVE-2020-0688 Scan Results, per Rapid7

tl;dr -- it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post: "If You Can't Patch Your Email Server, You Should Not Be Running It."

I read a disturbing story today with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following news:

"Starting March 24, Rapid7 used its Project Sonar internet-wide survey tool to discover all publicly-facing Exchange servers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers are grim.

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y found, 'at least 357,629 (82.5%) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 433,464 Exchange servers' are still vulnerable to attacks that would exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2020-0688 vulnerability.

To make matters even worse, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers that were tagged by Rapid7 as being safe against attacks might still be vulnerable given that 'cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 related Microsoft update wasn’t always updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 build number.'

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, 'cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are over 31,000 Exchange 2010 servers that have not been updated since 2012,' as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rapid7 researchers observed. 'There are nearly 800 Exchange 2010 servers that have never been updated.'

They also found 10,731 Exchange 2007 servers and more than 166,321 Exchange 2010 ones, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former already running End of Support (EoS) software that hasn't received any security updates since 2017 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter reaching EoS in October 2020."

In case you were wondering, threat actors have already been exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se flaws for weeks, if not months.

Email is one of, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most, sensitive and important systems upon which organizations of all shapes and sizes rely. The are, by virtue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir function, inherently exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, meaning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of every targeted or opportunistic intruder, worldwide.

In this particular case, unpatched servers are also vulnerable to any actor who can download and update Metasploit, which is virtually 100% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height of negligence to run such an important system in an unpatched state, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are much better alternatives -- namely, outsourcing your email to a competent provider, like Google, Microsoft, or several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

I expect some readers are saying "I would never put my email in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of those big companies!" That's fine, and I know several highly competent individuals who run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own email infrastructure. The problem is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small fraction of individuals and organizations who can do so. Even being extremely generous with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers, it appears that less than 20%, and probably less than 15% according to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r estimates, can even keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Exchange servers patched, let alone properly configured.

If you think it's still worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk, and your organization isn't able to patch, because you want to avoid megacorp email providers or government access to your email, you've made a critical miscalculation. You've essentially decided that it's more important for you to keep your email out of megacorp or government hands than it is to keep it from targeted or opportunistic intruders across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Incidentally, you've made anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mistake. Those same governments you fear, at least many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, will just leverage Metasploit to break into your janky email server anyway.

The bottom line is that unless your organization is willing to commit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources, attention, and expertise to maintaining a properly configured and patched email system, you should outsource it. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise you are being negligent with not only your organization's information, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information of anyone with whom you exchange emails.

Thursday, April 02, 2020

Seeing Book Shelves on Virtual Calls


I have a confession... for me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best part of virtual calls, or seeing any reporter or commentator working for home, is being able to check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir book shelves. I never use computer video, because I want to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's bandwidth. That means I don't share what my book shelves look like when I'm on a company call. Therefore, I thought I'd share my book shelves with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world.

My big categories of books are martial arts, mixed/miscellaneous, cybersecurity and intelligence, and military and Civil War history. I've cataloged about 400 print books and almost 500 digital titles. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years I've leaned towards buying Kindle editions of any book that is mostly print, in order to reduce my footprint.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last many years, my book shelving has consisted of three units, each with five shelves. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic distribution, as of 2020 I have roughly 6 shelves for martial arts, 4 for mixed/miscellaneous, 3 for cybersecurity and intelligence, and 2 for military and Civil War history.

This is interesting to me because I can compare my mix from five years ago, when I did an interview for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 now defunct Warcouncil Warbooks project.


In that image from 2015, I can see 2 shelves for martial arts, 4 for mixed/miscellaneous, 7 for cybersecurity and intelligence, and 2 for military and Civil War history.

What happened to all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cybersecurity and intelligence books? I donated a bunch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest I'm selling on Amazon, along with books (in new or like new condition) that my kids decided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't want anymore.

I've probably donated hundreds, possibly approaching a thousand, cyber security and IT books over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years. These were mostly books sent by publishers, although some were those that I bought and no longer needed. Some readers from norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia might remember me showing up at ISSA or NoVASec meetings with a boxes of books that I would leave on tables. I would say "I don't want to come home with any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se. Please be responsible. And guess what -- everyone was!

If anyone would like to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir book shelves, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best place would be as a reply to my Tweet on this post. I look forward to seeing your book shelves, fellow bibliophiles.

Friday, March 27, 2020

Skill Levels in Digital Security


Two posts in one day? These are certainly unusual times.

I was thinking about words to describe different skill levels in digital security. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than invent something, I decided to review terms that have established meaning. Thanks to Google Books I found this article in a 1922 edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Archives of Psychology that mentioned four key terms:

  1. The novice is a (person) who has no trade ability whatever, or at least none that could not be paralleled by practically any intelligent (person).
  2. An apprentice has acquired some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade but is not sufficiently skilled to be trusted with any important task.
  3. The journey(person) is qualified to perform almost any work done by members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade.
  4. An expert can perform quickly and with superior skill any work done by (people) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade.
I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se four categories can apply to some degree to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security profession.

At GE-CIRT we had three levels -- event analyst, incident analyst, and incident handler. We did not hire novices, so those three roles map in some ways to apprentice, journeyperson, and expert. 

One difference with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classical description applies to how we worked with apprentices. We trusted apprentices, or event analysts, with specific tasks. We thought of this work as important, just as every role on a team is important. It may not have been leading an incident response, but without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event and incident analysts, we may not have discovered many incidents!

Crucially, we encouraged event analysts, and incident analysts for that matter, to always be looking to exceed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parameters of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assigned duties.

However, we stipulated that if a person was working beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assigned duties, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work product reviewed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level of analysis. This enabled mentoring among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various groups. It also helped identify people who were candidates for promotion. If a person consistently worked beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assigned duties, and eventually reached a near-perfect or perfect ability to do that work, that proved he or she was ready to assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level.

This ability to access work beyond assigned duties is one reason I have problems with limiting data by role. I think everyone who works in a CIRT should have access to all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no classification, privacy, or active investigation constraints.

One of my laws is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Analysts are good because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have good data. An expert with bad data is helpless. An apprentice with good data has a chance to do good work.

I've said it more eloquently elsewhere but this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main point. 

For more information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apprenticeship model, this article might be useful.

When You Should Blog and When You Should Tweet


I saw my like-minded, friend-that-I've-never-met Andrew Thompson Tweet a poll, posted above.

I was about to reply with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Tweet:

"If I'm struggling to figure out how to capture a thought in just 1 Tweet, that's a sign that a blog post might be appropriate. I only use a thread, and no more than 2, and hardly ever 3 (good Lord), when I know I've got nothing more to say. "1/10," "1/n," etc. are not for me."

Then I realized I had something more to say, namely, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reasons blog posts are better than Tweets. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefest moment I considered adding a second Tweet, making, horror of horrors, a THREAD, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I realized I would be breaking my own guidance.

Here are three reasons to consider blogging over Tweeting.

1. If you find yourself trying to pack your thoughts into a 280 character limit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should write a blog post. You might have a good idea, and instead of expressing it properly, you're falling into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trap of letting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message, aka cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PowerPoint trap. I learned this from Edward Tufte: let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way around.

2. Twitter threads lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elegance and readability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 English language as our ancestors created it, for our benefit. They gave us structures, like sentences, lists, indentation, paragraphs, chapters, and so on. What does Twitter provide? 280 character chunks. Sure, you can apply feeble "1/n" annotations, but you've lost all that structure and readability, and for what?

3. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event you're writing a Tweet thread that's really worth reading, writing it via Twitter virtually guarantees that it's lost to history. Twitter is an abomination for citation, search, and future reference. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hierarchy of delivering content for current researchers and future generations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hierarchy is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, from lowest to highest:

  • "Transient," "bite-sized" social media, e.g., Twitter, Instagram, Facebook, etc. posts
  • Blog posts
  • Whitepapers
  • Academic papers in "electronic" journals
  • Electronic (e.g., Kindle) only formatted books
  • Print books (that may be stand-alone works, or which may contain journal articles)

Print book are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apex communication medium because we have such references going back hundreds of years. Hundreds of years from now, I doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first five formats above will be easily accessible, or accessible at all. However, in a library or personal collection somewhere, printed books will endure.

The bottom line is that if you think what you're writing is important enough to start a "1/n" Tweet thread, you've already demonstrated that Twitter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong medium.

The natural follow-on might be: what is Twitter good for? Here are my suggestions:

  • Announcing a link to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, in-depth news resource, like a news article, blog post, whitepaper, etc.
  • Offering a comment on an in-depth news resource, or replying to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r person's announcement.
  • Asking a poll question.
  • Asking for help on a topic.
  • Engaging in a short exchange with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r user. Long exchanges on hot topics typically devolve into a confusing mess of messages and replies, that delivery of which Twitter has never really managed to figure out.

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seduction of Twitter. I use it every day. However, when it really matters, blogging is preferable, followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r media I listed in point 3 above.

Update 0930 ET 27 Mar 2020: I forgot to mention that in extenuating circumstances, like live-Tweeting an emergency, Twitter threads on significant matters are fine because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 urgency of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convenience or plain logistical limitations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation make Twitter indispensable. I'm less thrilled by live-Tweeting in conferences, although I'm guilty of it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. I'd prefer a thoughtful wrap-up post following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, which I did a lot before Twitter became popular.

Thursday, March 12, 2020

COVID-19 Phishing Tests: WRONG

Malware Jake Tweeted a poll last night which asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I have an interesting ethical quandary. Is it ethically okay to use COVID-19 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365med phishing emails for assessments and user awareness training right now? Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread before responding and RT for visibility. 1/"

Ultimately he decided:

"My gut feeling is to not use COVID-19 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365med emails in assessments/training, but to TELL users to expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, though I understand even that might discourage consumption of legitimate information, endangering public health. 6/"

I responded by saying this was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right answer.

Thankfully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were many people who agreed, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that voting itself was skewed towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "yes" answer.

There were an uncomfortable number of responses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tweet that said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing wrong with red teams phishing users with COVID-19 emails. For example:

"Do criminals abide by ethics? Nope. Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r should testing."

"Yes. If it's in scope for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 badguys [sic], it's in scope for you."

"Attackers will use it. So I think it is fair game."

Those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong answers. As a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs outlined well in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a criminal or intruder employs a tactic does not mean that it's appropriate for an offensive security team to use it too.

I could imagine several COVID-19 phishing lures that could target school districts and probably cause high double-digit click-through rates. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of that? For a "community" that supposedly considers fear, uncertainty, and doubt (FUD) to be anacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ma, why introduce FUD via a phishing test?

I've grown increasingly concerned over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few years that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a "cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive" that justifies its activities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rationale that "intruders do it, so we should too." This is directly observable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replies to Jake's Tweet. It's a thin veneer that covers bad behavior, outweighing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small benefit accrued to high-end, 1% security shops against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 massive costs suffered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of networked global organizations.

The is a selfish, insular mindset that is reinforced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 echo chamber of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "infosec community." This "tribe" is detached from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concerns and ethics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger society. It tells itself that what it is doing is right, oblivious or unconcerned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs imposed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are supposedly "protecting" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backwards actions.

We need people with feet in both worlds to tell this group that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach is not welcome in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader human community, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs it imposes vastly outweigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits.

I've written here about ethics before, usually in connection with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only real value I saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP -- its code of ethics. Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "code," as it appears now, shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"There are only four mandatory canons in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Code. By necessity, such high-level guidance is not intended to be a substitute for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethical judgment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professional.

Code of Ethics Preamble:

The safety and welfare of society and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common good, duty to our principals, and to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, requires that we adhere, and be seen to adhere, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest ethical standards of behavior.
Therefore, strict adherence to this Code is a condition of certification.

Code of Ethics Canons:

Protect society, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common good, necessary public trust and confidence, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profession."

This is almost worthless. The only actionable item in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "code" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "legally," implying that if a CISSP holder was convicted of a crime, he or she could lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certification. Everything else is subject to interpretation.

Contrast that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USAFA Code of Conduct:

"We will not lie, steal, or cheat, nor tolerate among us anyone who does."

While it still requires an Honor Board to determine if a cadet has lied, stolen, cheated, or tolerated, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's much less gray in this statement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Academy's ethics. Is it perfect? No. Is it more actionable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP's version? Absolutely.

I don't have "solutions" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethical bankruptcy manifesting in some people practicing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y consider to be "information security." However, this post is a step towards creating red lines that those who are not already hardened in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ways can observe and integrate.

Perhaps at some point we will have an actionable code of ethics that helps newcomers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field understand how to properly act for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human community.

Wednesday, November 06, 2019

Seven Security Strategies, Summarized

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of story that starts as a comment on Twitter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes a blog post when I realize I can't fit all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas into one or two Tweets. (You know how much I hate Tweet threads, and how I encourage everyone to capture deep thoughts in blog posts!)

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought, and not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of thinking too deeply or comprehensively (at least right now), I offer seven security strategies, summarized.

When I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation, I'm talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that one can conceptually image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of some negative event using this "formula": Risk (of something) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product of some measurements of Vulnerability X Threat X Asset Value, or R = V x T x A.

  1. Denial and/or ignorance. This strategy assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, because those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assume that one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation are zero or almost zero, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are apacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost.
  2. Loss acceptance. This strategy may assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, or more likely those managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of risk realization is low. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, incidents will occur, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident is acceptable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.
  3. Loss transferal. This strategy may also assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk due to loss is low, but in contrast with risk acceptance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization believes it can buy an insurance policy which will cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of an incident, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy is cheaper than alternative strategies.
  4. Vulnerability elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through secure coding, proper configuration, patching, and similar methods.
  5. Threat elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through deterrence, dissuasion, co-option, bribery, conversion, incarceration, incapacitation, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods that change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent and/or capabilities of threat actors. 
  6. Asset value elimination. This strategy focuses on driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to zero or almost zero, through minimizing data or resources that might be valued by adversaries.
  7. Interdiction. This is a hybrid strategy which welcomes contributions from vulnerability elimination, primarily, but is open to assistance from loss transferal, threat elimination, and asset value elimination. Interdiction assumes that prevention eventually fails, but that security teams can detect and respond to incidents post-compromise and pre-breach. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, some classes of intruders will indeed compromise an organization, but it is possible to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary completes his mission.
As you might expect, I am most closely associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interdiction strategy. 

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denial and/or ignorance and loss acceptance strategies are irresponsible.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss transferal strategy continues to gain momentum with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of cybersecurity breach insurance policies. 

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability elimination strategy is important but ultimately, on its own, ineffective and historically shown to be impossible. When used in concert with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r strategies, it is absolutely helpful.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat elimination strategy is generally beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of private organizations. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state retains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monopoly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of force, usually only law enforcement, military, and sometimes intelligence agencies can truly eliminate or mitigate threats. (Threats are not vulnerabilities.)

I believe asset value elimination is powerful but has not gained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground I would like to see. This is my "If you can’t protect it, don’t collect it" message. The limitation here is obviously one's raw computing elements. If one were to magically strip down every computing asset into basic operating systems on hardware or cloud infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that those assets exist and are networked means that any adversary can abuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for mining cryptocurrencies, or as infrastructure for intrusions, or for any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses of raw computing power.

Please notice that none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies listed tools, techniques, tactics, or operations. Those are important but below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conflict hierarchy. I may have more to say on this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.