Thursday, May 31, 2012

5000th Tweet

Today I posted my 5000th Tweet. I've apparently been a Twitter user since 1 December 2008. I remember not Tweeting anything until 15 July 2009, when I attended a Webcast about "security monitoring." The speakers were using Twitter to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions, so I decided it was a good time to try participating.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advent of Twitter I've blogged a lot less. It's tempting to think that I've been sacrificing long, thoughtful blog posts for short, mindless Tweets. It turns out that a decent portion of my blogging volume, especially in my early blogging years (say 2003-2006) involved short posts. I recently reviewed a lot of my earlier blog posts, and noticed many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m looked just like Tweets. They may not have fit within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 140 character limit, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were short indeed.

For me, Twitter is a very compelling medium. It's more interactive, more frequently updated, and just easier to use. I have only ever blogged from a laptop. I use Twitter a lot on my phone and increasingly on my tablet. The ability to send a Tweet while reading a Web page is especially compelling.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 down side, Twitter surely lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "institutional memory" of a blog. I can easily search my blog for past content, navigate via time or label, and read fairly complete thoughts in a narrative format. I can build a new book around ideas on my blog; I can't do that with old Tweets.

Note: can anyone remember who posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of blogging vs Tweeting output? I was listed in that post but I don't remember who wrote it. Also, thanks to activating a setting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog, I now get an email whenever a visitor posts a comment for moderation. Expect faster response times now!

Tuesday, May 22, 2012

Whistleblowers: The Approaching Storm for Digital Security

Last week in my post SEC Guidance Is a Really Big Deal I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential significance of whistleblowers with respect to digital security. I came to this conclusion while participating in a panel for those involved with Directors and Officers insurance. This post provides a few more details.

This morning I reviewed slides by Frederick Lipman, author of Whistleblowers: Incentives, Disincentives, and Protection Strategies, pictured at left. Mr Lipman spoke about whistleblowers at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same conference, but I didn't see his presentation.

You can read Mr Lipman's slides on this shared Google drive in .pdf format.

To briefly summarize Mr Lipman's work, Dodd-Frank, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 False Claims Act, IRS rules, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r regulations have created an environment more favorable to those who wish to report wrongdoing within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organizations. Bounties for whistleblowers can amount to tens of millions of dollars. Yes, that's right: individuals have received millions of dollars after reporting violations by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir employers. If that weren't enough, following penalties levied by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government against companies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector also joins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fray through shareholder law suits.

I'm predicting that due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in regulation during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last decade, whistleblowers will begin to report digital risks or incidents to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir boards and/or outsiders.

Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following scenario: a publicly traded firm targeted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT suffers a major loss of intellectual property. The loss will likely result in decreased revenues for a particular product line because foreign companies will clone and sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology, undermining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's competitiveness and qualifying as a material event.

The firm decides to not report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event in its SEC disclosure documents. Frustrated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover-up, members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team act as whistleblowers. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm is lucky cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whistleblowers use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm's reporting process to notify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audit committee of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 board. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firm is not lucky, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whistleblowers don't feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir concerns are addressed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y report to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r outside entities.

I could imagine many permutations of this scenario to make it better or worse for all parties involved. The bottom line is that I expect this aspect of additional regulations to be a new driver for disclosure, once it becomes more widely recognized and understood.

For fun, imagine a different scenario where hacktivists compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same victim and publish its email. Regulators read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email (or learn via those who read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacktivism victim is also failing to report material losses due to APT compromise...

Thank you to Mr Lipman for agreeing to let me post his slides publicly. I plan to check out his book too.

Sunday, May 20, 2012

Comparing IEDs and Digital Threats

Two weeks ago Vago Muradian from This Week in Defense News interviewed Army Lt Gen Michael Barbero, commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint IED Defeat Organization. I was struck by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 similarities between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems his command handles regarding improvised explosive devices (IEDs) and those involving digital security professionals.

In fact, you may be aware that papers and approaches like Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains by Eric M. Hutchins, Michael J. Cloppert, and Rohan M. Amin, Ph.D. were inspired by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to move "left of boom" regarding IEDs.

In this post I will highlight elements from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interview which will likely resonate with those working digital security problems.

  • The threat "shares information globally," and engages in an "arms race" with defenders, sometimes by "sitting in front of a computer" devising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest tools and techniques.
  • The adversary can introduce changes to tools and techniques in weeks and months, not years or decades as was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with conventional or strategic weapons.
  • For a "meagre expenditure," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary can impose "huge costs on defenders."
  • The goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security program (i.e., JIEDDO) is to provide commanders freedom of maneuver to conduct operations (business) in an IED environment.
  • "If you're worrying about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device, you're playing defense." Don't focus only on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device, put pressure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks (of adversaries who design, build, and operate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons.)
  • Intelligence plays a key role in defeating adversaries. Winning involves applying "lethal pressure, "along with government techniques. "It takes a network to defeat a network."
  • Defeating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device attracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most attention and funding, but training users and attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network must also be pursued. Training involves ensuring that operators are using countermeasures effectively and appropriately.
  • JIEDDO shares threat intelligence in unclassified form so industry partners can devise countermeasures. The unclassified documents are backed by a classified appendix that describes how troops deploy countermeasures in operational settings.
I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first four minutes of that interview, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n comments about unclassified intel sharing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seven minute mark, to be fascinating. It's clear to me that "malware" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent to IEDs in this context. Sure enough, just as in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IED world, defeating malware attracts a log of "attention and funding," but training users and "attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network" are just as, if not more, important.

If you'd like to see examples of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IEDs encountered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field and some US countermeasures, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first segment.

Monday, May 14, 2012

SEC Guidance Is a Really Big Deal

In November I wrote SEC Guidance Emphasizes Materiality for Cyber Incidents, my thoughts after reading an article by Senator Jay Rockefeller and former DHS Secretary Michael Chertoff. They explained why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CF Disclosure Guidance: Topic No. 2, Cybersecurity issued by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC in October is a big deal.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I attended a conference on Director's and Officer's insurance in Connecticut, and spoke on a panel about that SEC guidance. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC guidance isn't a big deal -- it's a really big deal. We're talking a game changer, potentially on three fronts. Here's what I heard at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

  1. First, lawyers who read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 language in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC guidance treated it as a "stop whatever you're doing and read this" moment. The lawyers I spoke to said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC guidance absolutely defined new reporting duties for companies, despite talk of it being merely a "clarification" or restatement of existing guidance.

    Clients bombarded insurance firms asking what language cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should use in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SEC disclosure documents. They asked "what are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies saying? What should we say?" The firms noted similar boiler plate shared among clients, most of which insufficiently met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC's requirements.

    One lawyer I spoke with said she expects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC to give publicly traded firms a "one year pass" before bringing enforcement actions against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for insufficiently outlining digital risk, pre- and post-breach.

  2. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC language will encourage shareholder lawsuits against companies by disgruntled parties who believe boards are not disclosing risks and actual breach details to investors. This will probably not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary cause for a suit but it will likely be one of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors a shareholder action uses to show that a board is not fulfilling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir duties to investors.
  3. Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC language may prompt whistleblower reports from dissatisfied IT and security staff to organizations like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Whistleblower. (That is a real organization!) In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seven weeks beginning with this new office's launch in August 2011, parties reported 334 tips from 37 states and 11 countries, with successful enforcement actions in up to 30% of cases.

    Although it doesn't appear that this new office has paid any whisteblowers yet, it is apparently gearing up to do so. Imagine a case where security staff believes that management is not treating a breach as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staff thinks it should be treated, and decides to report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC -- with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of a payout waiting!

Right now Congress doesn't seem to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC rules are working. Joe Menn reported in Hacked companies still not telling investors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At least a half-dozen major U.S. companies whose computers have been infiltrated by cyber criminals or international spies have not admitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents despite new guidance from securities regulators urging such disclosures.

Top U.S. cybersecurity officials believe corporate hacking is widespread, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securities and Exchange Commission issued a lengthy "guidance" document on October 13 outlining how and when publicly traded companies should report hacking incidents and cybersecurity risk.

But with one full quarter having elapsed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC request, some major companies that are known to have had significant digital security breaches have said nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir regulatory filings.

Now Senator Rockefeller is taking a closer look as reported by Jennifer Martinez of Politico this week:

Senate Commerce Chairman Jay Rockefeller thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC needs to ensure hacked companies are adequately informing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investors about when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y suffer a security breach or cybersecurity risk that could jeopardize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir financial standing.

The West Virginia Democrat wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full commission to issue guidance for companies — right now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y only have staff-level instructions — on when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to report cyber breaches or threats and what steps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re taking to minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks.

“It’s crucial that companies are disclosing to investors how cybersecurity risks affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bottom lines, and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing to address those risks,” Rockefeller said in a statement to POLITICO.

Rockefeller will soon introduce an amendment that calls on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC to issue interpretive guidance on when companies must disclose cybersecurity risks and intrusions. Staffers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commerce Committee are finalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amendment and aim to introduce it before Sen. Joe Lieberman’s (I-Conn.) cybersecurity bill goes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 floor.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of activity that I think is going to mark a sea change in digital security over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming years. I don't expect engineering or technical developments to have anywhere near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same level of impact as issues that involve legislators, lawyers, insurers, and financiers. Stay tuned!

Saturday, April 21, 2012

Clowns Base Key Financial Rate on Feelings, Not Data

If you've been reading this blog for a while, you know I don't think very highly of macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matical valuations of "risk." I think even less highly of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clowns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector who call security professionals "stupid" because we can't match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "five digit accuracy" for risk valuation. We all know how well those "five digit" models worked out. (And as you see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last link, I was calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bluff in 2007 before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 markets imploded.)

Catching up on last week's Economist this morning I found anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of financial buffoonery that boggles cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind. The article is online: Inter-bank interest rates; Cleaning up LIBOR -- A benchmark which matters to everyone needs fixing:

It is among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important prices in finance. So allegations that LIBOR (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 London inter-bank offered rate) has been manipulated are a serious worry.

LIBOR is meant to be a measure of banks’ own borrowing costs, and is used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for a host of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interest rates. Everyone is affected by LIBOR: it influences cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payments made on mortgages and personal loans, and those received on investments and pensions.

Given its importance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way LIBOR is calculated is astonishingly flimsy. LIBOR rates are needed, every day, for 15 different borrowing maturities in ten different currencies. But hard data on banks’ borrowing costs are not available every day, and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LIBOR problem.

The British Bankers’ Association (BBA), responsible for LIBOR, gets around it by asking banks, each day, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should pay to borrow.

So LIBOR rates—and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 returns on $360 trillion of financial contracts related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, five times global GDP—are based on best guesses racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hard data.

Let that sink in and forget about what you learned in business school or economics classes. LIBOR isn't based on actual rates; it's based on feelings!

The next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article talks about suspicions that banks manipulate this broken process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector.

The remainder offers recommendations for improvement:

[T]he BBA should revamp LIBOR to ensure it is simple, transparent and accountable. These principles suggest LIBOR should be based on actual inter-bank lending, with any gaps filled in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of statistical techniques. Banks’ own guesses should be used as a last resort, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first.

And regulators should collect data that could help spot LIBOR cheats: banks should be required to submit information on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r banks’ borrowing costs, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own. Regulators could cross-check submissions against hard data on banking-sector risk, and publicly report LIBOR abusers.

Keep this system in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time a so-called "master of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universe" offers a lecture on measuring risk in digital security.

Wednesday, April 04, 2012

Salvaging Poorly Worded Statistics

Today I joined a panel held at FOSE chaired by Mischel Kwon and featuring Amit Yoran. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r session I heard that "80% of all breaches are preventable." What do you think about that?

My brief answer explained why that statement isn't very useful. In this post I'll explain why.

The first problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "80%." 80% of what? What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample set? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail and hospitality sectors or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telecommunications and aerospace industries? Speaking in general terms, different sorts of organizations are at different levels of maturity, capability, and resourcefulness when it comes to digital security.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of salvaging this poorly worded statistic, let's assume (rightly or wrongly) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample set involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail and hospitality sectors.

The second problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "breach." What is a breach? Is it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of a single computer? (What's compromise? Does it mean executing malicious code, or login via stolen credentials, or...?) What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident? There are dozens of questions that could be asked here.

To salvage this part, let's assume "breach" means "an incident involving execution of unauthorized code by an unauthorized intruder" on a single computer.

The third problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "preventable." "Prevention" as a concept is becoming less useful by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second. Think about how an intruder might try to execute malicious code against a victim. Imagine a fully automated attack that happens when a victim visits a malicious Web site. An exploit kit could throw a dozen or more exploits against a browser and applications until one works. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all non-zero day, or are some zero day? Again, many questions beckon.

To salvage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original statement, let's translate "preventable" into "exploitation of a vulnerability for which a patch had been publicly available for at least seven days."

Our new statement now reads something like "In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail and hospitality sectors, 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents where an unauthorized intruder successfully executed unauthorized code on a single computer exploited a vulnerability for which a patch had been publicly available for at least seven days."

Isn't that catchy! That's why we heard shortcuts like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original statement, which are basically worthless. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y end up driving listeners into poor conceptual and operational models.

The wordy but accurate statement says nothing about preventability, which is key. The reason is that a determined adversary, when confronted by a fully patched target, may decide to escalate to using a zero-day or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technique for which patches are irrelevant.

Monday, March 26, 2012

Inside a Commission Hearing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese Threat

This morning I testified at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S.-China Economic and Security Review Commission at a hearing on Developments in China’s Cyber and Nuclear Capabilities. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture taken by Mrs Bejtlich (thanks for attending!) I'm seated at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right. To my left is Nart Villeneuve. To his left is Jason Healey.

As stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Web site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Congress created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S.-China Economic and Security Review Commission in October 2000 with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legislative mandate to monitor, investigate, and submit to Congress an annual report on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national security implications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bilateral trade and economic relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 People’s Republic of China, and to provide recommendations, where appropriate, to Congress for legislative and administrative action. The Commission holds hearings to solicit testimony from subject matter experts and builds on those hearings to produce an excellent annual report.

You can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2011 report on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commission Web site, and even request a printed copy if you'd prefer to read paper.

A few weeks ago cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commission staff requested that I answer a set of questions, and I provided a draft response last Monday. When I testified each of us had seven minutes to make a statement, after which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commissioners asked questions. The testimony posted online is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "extended" version of my remarks. I used an abridged version when speaking today, but didn't read it verbatim.

After we each made a seven minute statement, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commissioners asked a round of questions. Each received about five minutes. We tried to keep to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rotation, which as you might expect was tough. Several questions were fairly complicated (like discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs and benefits of "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud") so it was difficult to be anything near complete when responding. A few Commissioners were interested in supply chain questions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems posed by Chinese made telecommunications equipment.

I expect an audio recording of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event to be available at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commission Web site within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few weeks. Once that is posted I'll review it and share a few more thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant Blog.

In addition to my wife, thanks also to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local computer network defense and intelligence communities who attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefing and said hello!