Showing posts with label cdm. Show all posts
Showing posts with label cdm. Show all posts

Saturday, June 27, 2015

Hearing Witness Doesn't Understand CDM

This post is a follow up to this post on CDM. Since that post I have been watching hearings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OPM breach.

On Wednesday 24 June a Subcommittee of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Homeland Security held a hearing titled DHS’ Efforts to Secure .Gov.

A second panel (starts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webcast around 2 hours 20 minutes) featured Dr. Daniel M. Gerstein, a former DHS official now with RAND, as its sole witness.

During his opening statement, and in his written testimony, he made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following comments:

"The two foundational programs of DHS’s cybersecurity program are EINSTEIN (also called EINSTEIN 3A) and CDM. These two systems are designed to work in tandem, with EINSTEIN focusing on keeping threats out of federal networks and CDM identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are inside government networks.

EINSTEIN provides a perimeter around federal (or .gov) users, as well as select users in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .com space that have responsibility for critical infrastructure. EINSTEIN functions by installing sensors at Web access points and employs signatures to identify cyberattacks.

CDM, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, is designed to provide an embedded system of sensors on internal government networks. These sensors provide real-time capacity to sense anomalous behavior and provide reports to administrators through a scalable dashboard. It is composed of commercial-off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf equipment coupled with a customized dashboard that can be scaled for administrators at each level." (emphasis added)

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text in bold is false. CDM is not "identifying [threats] when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in inside government networks." CDM is not "an embedded system of sensors on internal government networks" looking for threat actors.

Why does Dr. Gerstein so misunderstand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program? The answer is found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next section of his testimony, reproduced below.

"CDM operates by providing

          federal departments and agencies with capabilities and tools that identify
          cybersecurity risks on an ongoing basis, prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se risks based upon
          potential impacts, and enable cybersecurity personnel to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
          most significant problems first. Congress established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program
          to provide adequate, risk-based, and cost-effective cybersecurity and
          more efficiently allocate cybersecurity resources." (emphasis added)

The indented section is reproduced from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM Website, as footnoted in Dr. Gerstein's statement.

The answer to my question of misunderstanding involves two levels of confusion.

The first level of confusion is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description, which confuses risks with vulnerabilities. Basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description should say vulnerabilities instead of risks. CDM, now known as Continuous Diagnostics and Mitigation, is a "find and fix flaws (i.e., vulnerabilities) faster" program.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description should say:

"CDM gives federal departments and agencies with capabilities and tools that identify cybersecurity vulnerabilities on an ongoing basis, prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities based upon potential impacts, and enable cybersecurity personnel to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant problems first."

The second level of confusion is a result of Dr. Gerstein confusing risks with threats. It is clear that when Dr. Gerstein reads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description and its mention of "risks," he thinks CDM is looking for threat actors. CDM does not look for threat actors; CDM looks for vulnerabilities. Vulnerabilities are flaws in software or configuration that make it possible for intruders to gain unauthorized access.

As I wrote in my CDM post, we absolutely need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to find and fix flaws faster. We need CDM. However, do not confuse CDM with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational capability to detect and remove threat actors. CDM could be deployed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but it would be an accident if a security analyst noticed an intruder using a CDM tool.

Essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government needs to implement My Federal Government Security Crash Program to detect and remove threat actors.

It is critical that staffers, lawmakers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public understand what is happening, and not be lulled into a false sense of security due to misunderstanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts.

Wednesday, June 10, 2015

My Federal Government Security Crash Program

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of recent intrusions into government systems, multiple parties have been asking for my recommended courses of action.

In 2007, following public reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 State Department breach, I blogged When FISMA BitesInitial Thoughts on Digital Security Hearing. and What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do. These posts captured my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department intrusion.

The situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n mirrors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current one well: outrage over an intrusion affecting government systems, China suspected as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, and questions regarding why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's approach to security does not seem to be working.

Following that breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department hired a new CISO who pioneered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "continuous monitoring" program, now called "Continuous Diagnostic Monitoring" (CDM). That CISO eventually left State for DHS, and brought CDM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. He is now retired from Federal service, but CDM remains. Years later we're reading about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OPM intrusions. CDM is not working.

My last post, Continuous Diagnostic Monitoring Does Not Detect Hackers, explained that although CDM is a necessary part of a security program, it should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority. CDM is at heart a "Find and Fix Flaws Faster" program. We should not prioritize closing and locking doors and windows while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Accordingly, I recommend a "Detect and Respond" strategy first and foremost.

To implement that strategy, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, three-phase approach. All phases can run concurrently.

Phase 1: Compromise Assessment: Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government can muster cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and authority, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Management and Budget (OMB), or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency such as DHS, should implement a government-wide compromise assessment. The compromise assessment involves deploying teams across government networks to perform point-in-time "hunting" missions to find, and if possible, remove, intruders. I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "remove" part will be more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se teams can handle, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of what I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will find. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, simply finding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders, or a decent sample, should inspire additional defensive activities, and give authorities a true "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

Phase 2: Improve Network Visibility: The following five points include actions to gain enhanced, enduring, network-centric visibility on Federal networks. While network-centric approaches are not a panacea, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best balances between cost, effectiveness, and minimized disruption to business operations.

1. Accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployment of Einstein 3A, to instrument all Federal network gateways. Einstein is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government's network visibility problem, but given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current situation, some visibility is better than no visibility. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inline, "intrusion prevention system" (IPS) nature of Einstein 3A is being used as an excuse for slowly deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS capability should be disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion detection system" (IDS) mode should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default. Waiting until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2016 is not acceptable. Equivalent technology should have been deployed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

2. Ensure DHS and US-CERT have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to provide centralizing monitoring of all deployed Einstein sensors. I imagine bureaucratic turf battles may have slowed Einstein deployment. "Who can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is probably foremost among agency worries. DHS and US-CERT should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home for centralized analysis of Einstein data. Monitored agencies should also be given access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and DHS, US-CERT, and agencies should begin a dialogue on whom should have ultimately responsibility for acting on Einstein discoveries.

3. Ensure DHS and US-CERT are appropriately staffed to operate and utilize Einstein. Collected security data is of marginal value if no one is able to analyze, escalate, and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. DHS and US-CERT should set expectations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time that should elapse from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of collection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of analysis, and staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team to meet those requirements.

4. Conduct hunting operations to identify and remove threat actors already present in Federal networks. Now we arrive at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion operation. The purpose of improving network visibility with Einstein (for lack of an alternative at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment) is to find intruders and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This operation should be conducted in a coordinated manner, not in a whack-a-mole fashion that facilitates adversary persistence. This should be coordinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" mission in Phase 1.

5. Collect metrics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion campaign and devise follow-on actions based on lessons learned. This operation will teach Federal network owners lessons about adversary campaigns and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfortunate realities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. They must learn how to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed, accuracy, and effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defensive campaign, and how to prioritize countermeasures that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent. I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would begin considering additional detection and response technologies and processes, such as enterprise log management, host-based sweeping, modern inspection platforms with virtual execution and detonation chambers, and related approaches.

Phase 3. Continuous Diagnostic Monitoring, and Related Ongoing Efforts: You may be surprised to see that I am not calling for an end to CDM. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, CDM should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of Federal security measures. It is important to improve Federal security through CDM practices, such that it becomes more difficult for adversaries to gain access to government computers. I am also a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Internet Connection program, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is consolidating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Note: I recommend anyone interested in details on this matter see my latest book, The Practice of Network Security Monitoring, especially chapter 9. In that chapter I describe how to run a network security monitoring operation, based on my experiences since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

Tuesday, June 09, 2015

Continuous Diagnostic Monitoring Does Not Detect Hackers

There is a dangerous misconception coloring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Personnel Management (OPM), I have been discussing countermeasures with many parties. Concerned officials, staffers, and media have asked me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein and Continuous Diagnostic Monitoring (CDM) programs. It has become abundantly clear to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a fundamental misunderstanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of CDM. This post seeks to remedy that problem.

The story Federal cyber protection knocked as outdated, behind schedule by Cory Bennett unfortunately encapsulates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misunderstanding about Einstein and CDM:

The main system used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government to protect sensitive data from hacks has been plagued by delays and criticism that it is already outdated — months before it is even fully implemented.

The Einstein system is intended to repel cyberattacks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one revealed last week by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Personnel Management (OPM)...

Critics say Einstein has been a multibillion-dollar boondoggle that is diverting attention away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security overhaul that is needed...

To offset those shortcomings, officials in recent years started rolling out a Continuous Diagnostics and Mitigation (CDM) program, which searches for nefarious actors once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks. It’s meant to complement and eventually integrate with Einstein. (emphasis added)

The section I bolded and underlined is 100% false. CDM does not "search" for "nefarious actors" "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks." CDM is a vulnerability management program. Please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper left. It depicts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 six phases of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program:

  1. Install/update "sensors." (More on this shortly)
  2. Automated search for flaws.
  3. Collect results from departments and agencies.
  4. Triage and analyze results.
  5. Fix worst flaws.
  6. Report progress.
CDM searches for flaws (i.e., vulnerabilities), and Federal IT workers are supposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flaws. The "sensors" mentioned in step 1 are vulnerability management and discovery platforms. They are not searching for intruders. You could be forgiven for misunderstanding what "sensor" means. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM page:


The CDM program enables government entities to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir continuous diagnostic capabilities by increasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network sensor capacity, automating sensor collections, and prioritizing risk alerts.

Again, "sensor" here does not mean "sensing" to find intruders. The next paragraph says:

CDM offers commercial off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf (COTS) tools, with robust terms for technical modernization as threats change. First, agency-installed sensors perform an automated search for known cyber flaws. Results feed into a local dashboard that produces customized reports, alerting network managers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir worst and most critical cyber risks based on standardized and weighted risk scores. Prioritized alerts enable agencies to efficiently allocate resources based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk. Progress reports track results, which can be used to compare security posture among department/agency networks.  Summary information can feed into an enterprise-level dashboard to inform and situational awareness into cybersecurity risk posture across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government.


The "situational awareness" here means configuration and patch status, not intrusion status.

I captured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CMD figure from US-CERT's Continuous Diagnostic Monitoring program overview (pdf). It also appears on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM page. The US-CERT program Web page lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core tools used for CDM as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • Intro to Hardware Asset Management (HWAM)
  • Intro to Software Asset Management (SWAM)
  • Intro to Vulnerability Management (VUL)
  • Intro to Configuration Settings Management (CSM)

As you can see, CDM is about managing infrastructure, not detecting and responding to intruders. Don't be fooled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitoring" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term CDM; "monitoring" here means looking for flaws.

In contrast, Einstein is an intrusion detection and prevention platform. It is a network-based system that uses threat signatures to identify indications of compromise observable in network traffic. Einstein 1 and 2 were more like traditional IDS technologies, while Einstein 3 and 3 accelerated are more like IDP technologies. 

Critics of my characterization might say "CDM is more than faster patching." According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSA page on CDM, CDM as I described earlier is only phase 1:
Endpoint Integrity
  • HWAM – Hardware Asset Management
  • SWAM – Software Asset Management
  • CSM – Configuration Settings Management
  • VUL – Vulnerability Management

Phase 2 will include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Least Privilege and Infrastructure Integrity
  • TRUST –Access Control Management (Trust in People Granted Access)
  • BEHAVE – Security-Related Behavior Management
  • CRED – Credentials and Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Management
  • PRIV – Privileges

Phase 3 will include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Boundary Protection and Event Management for Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Lifecycle
  • Plan for Events
  • Respond to Events
  • Generic Audit/Monitoring
  • Document Requirements, Policy, etc.
  • Quality Management
  • Risk Management
  • Boundary Protection – Network, Physical, Virtual

What do you not see listed in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se phases? Aside from "respond to events," which does not appear to mean intrusions, I still see no strong focus on detecting and responding to intrusions. CDM beyond phase 1 is still just dealing with "cyber hygiene." Unfortunately, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President does not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper strategic focus. As reported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hill:

President Obama acknowledged that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States’s problems is that it has a “very old system.”

“What we are doing is going agency by agency and figuring out what can we fix with better practices and better computer hygiene by personnel, and where do we need new systems and new infrastructure in order to protect information,”

Don't misunderstand my criticism of CDM as praise for Einstein. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, Einstein, or a technology like it, should have been deployed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government while I was still in uniform, 15 years ago. We had equivalent technology in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force 20 years ago. (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword for my latest book online for history.)

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, I'm not saying that CDM is a bad approach. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM phases are needed. I understand that intruders are going to have an easy time getting back into a poorly secured network.

My goal with this post is to show that CDM is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r being sold as, or misunderstood as, a way to detect intruders. CDM is not an intrusion detection program; CDM is a vulnerability management program, a method to Find and Fix Flaws Faster. CDM should have been called "F^4, F4, or 4F" to capture this strategic approach.

The focus on CDM has meant intruders already present in Federal networks are left to steal and fortify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions, while scarce IT resources are devoted to patching. The Feds are identifying and locking doors and windows while intruders are inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house.

It's time for a new (yet ideologically very old) strategy: find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n conduct counter-intrusion campaigns to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y inevitably return. CDM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real "multibillion-dollar boondoggle that is diverting attention away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security overhaul that is needed." The OPM breach is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest consequence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misguided CDM-centric strategy.

Tuesday, November 22, 2011

Why DIARMF, "Continuous Monitoring," and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r FISMA-isms Fail

I've posted about twenty FISMA stories over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years on this blog, but I haven't said anything for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year and a half. After reading Goodbye DIACAP, Hello DIARMF by Len Marzigliano, however, I thought it time to reiterate why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly "improved" FISMA is still a colossal failure.

First, a disclaimer: it's easy to be a cynic and a curmudgeon when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and security are involved. However, I think it is important for me to discuss this subject because it represents an incredible divergence between security people. On one side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 divide we have "input-centric," "control-compliant," "we-can-prevent-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-threat" folks, and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side we have "output-centric," "field-assessed," "prevention eventually fails" folks. FISMA fans are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and I am cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with FISMA? In his article Len expertly discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new DoD Information Assurance Risk Management Framework (DIARMF) in comparison to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older DoD Information Assurance Certification and Accreditation Process (DIACAP). DIARMF is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new FISMA" emphasis on "continuous monitoring" which I've discussed before.

Len writes "DIARMF represents DoD adoption of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST Risk Management Framework process" and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram at left with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caption "The six major steps of Risk Management Framework aligned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five phases of a System Development Lifecycle (SDLC)."

Does anything seem to be missing in that diagram? I immediately key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "MONITOR Security Controls" box. As I reminded readers in Thoughts on New OMB FISMA Memo, control monitoring is not threat monitoring. The key to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new" FISMA and "continuous monitoring" as seen in DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, described by Len:

Equally profound within DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increased requirements for Continuous Monitoring activities. Each control (and control enhancement) will be attributed with a refresh rate (daily, weekly, monthly, yearly) and requisite updates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of each control will be packaged into a standardized XML format and uploaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberScope system where analysis, risk management, and correlation activities will be performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregate data.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than checking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture every three years or whatever insane interval that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old FISMA used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new FISMA checks security posture more regularly, and centralizes posture reporting.

Wait, isn't that a good idea? Yes, it's a great idea -- but it's still control monitoring. I can't stress this enough; under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, a box can be totally owned but appear "green" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA dashboard because it's compliant with controls. Why? There is no emphasis on threat monitoring -- incident detection and response -- which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only hope we have against any real adversary.

Think I'm wrong? Read Len's words on CyberScope:

CyberScope is akin to a giant federal-wide SEIM system, where high-level incident management teams can quickly pull queries or drill down into system details to add analysis on system defenses and vulnerabilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available intelligence on an attack. CyberScope data will also be used to track trends, make risk management decisions, and determine where help is needed to improve security posture.

If you're still not accepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, consider this football analogy.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old system, you measured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You checked again three years later. You kept data on all your players but had no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game was.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, you measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You check again more regularly -- maybe even every hour, and store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a central location with a fancy Web UI. You keep data on all your players but still have no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is.

Until DoD, NIST, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r control-compliant cheerleaders figure out that this approach is a failure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's computers will remain compromised.

Note: There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems with DIARMF -- read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section where Len says "This shakes out to easily over a hundred different possible control sets that can be attributed to systems" to see what I mean.