Showing posts with label cloud. Show all posts
Showing posts with label cloud. Show all posts

Monday, July 01, 2019

Happy Birthday TaoSecurity.com


Nineteen years ago this week I registered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain taosecurity.com:

Creation Date: 2000-07-04T02:20:16Z

This was 2 1/2 years before I started blogging, so I don't have much information from that era. I did create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first taosecurity.com Web site shortly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter.

I first started hosting it on space provided by my cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-ISP, Road Runner of San Antonio, TX. According to archive.org, it looked like this in February 2002.


That is some fine-looking vintage hand-crafted HTML. Because I lived in Texas I apparently reached for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 light tan background. Unfortunately I didn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "under construction" gif working for me.

As I got deeper into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security scene, I decided to simplify and adopt a dark look. By this time I had left Texas and was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC area, working for Foundstone. According to archive.org, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site look like this in April 2003.


Notice I've replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oh-so-cool picture of me doing American Kenpo in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper-left-hand corner with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classic Bruce Lee photo from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover of The Tao of Jeet Kune Do. This version marks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first appearance of my classic TaoSecurity logo.

A little more than two years later, I decided to pursue TaoSecurity as an independent consultant. To launch my services, I painstakingly created more hand-written HTML and graphics to deliver this beauty. According to archive.org, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site looked like this in May 2005.


I mean, can you even believe how gorgeous that site is? Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subdued gray TaoSecurity logo, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red-highlighted menu boxes, etc. I should have kept that site forever.

We know that's not what happened, because that wonder of a Web site only lasted about a year. Still to this day not really understanding how to use CSS, I used a free online template by Andreas Viklund to create a new site. According to archive.org, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site appeared in this form in July 2006.


After four versions in four years, my primary Web site stayed that way... for thirteen years. Oh, I modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, SSH'ing into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server hosted by my friend Phil Hagen, manually editing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTML using vi (and careful not to touch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSS).

Then, I attended AWS re:inforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week in June, 2019. I decided that although I had tinkered with Amazon Web Services as early as 2010, and was keeping an eye on it as early as 2008, I had never hosted any meaningful workloads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. A migration of my primary Web site to AWS seemed like a good way to learn a bit more about AWS and an excuse to replace my teenage Web layout with something that rendered a bit better on a mobile device.

After working with Mobirise, AWS S3, AWS Cloudfront, AWS Certificate Manager, AWS Route 53, my previous domain name servers, and my domain registrar, I'm happy to say I have a new TaoSecurity.com Web site. The front page like this:


The background is an image of Milnet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s. I apologize for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 giant logo in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper left. It should be replaced by a resized version later today when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AWS Cloudfront cache expires.

Scolling down provides information on my books, which I figured is what most people who visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site care about.


For reference, I moved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content (which I haven't been updated) about news, press, and research to individual TaoSecurity Blog posts.

It's possible you will not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, if your DNS servers have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old IP addresses cached. That should all expire no later than tomorrow afternoon, I imagine.

Let's see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new site lasts anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thirteen years?

Wednesday, March 13, 2019

Thoughts on Cloud Security

Recently I've been reading about cloud security and security with respect to DevOps. I'll say more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent book I'm reading, but I had a moment of déjà vu during one section.

The book described how cloud security is a big change from enterprise security because it relies less on IP-address-centric controls and more on users and groups. The book talked about creating security groups, and adding users to those groups in order to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir access and capabilities.

As I read that passage, it reminded me of a time long ago, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s, when I was studying for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MCSE, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Certified Systems Engineer. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book at left, Windows NT Security Handbook, published in 1996 by Tom Sheldon. It described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same security process of creating security groups and adding users. This was core to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new NT 4 role based access control (RBAC) implementation.

Now, fast forward a few years, or all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to today, and consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security challenges facing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of legacy enterprises: securing Windows assets and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y store and access. How could this wonderful security model, based on decades of experience (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s and 1970s no less), have failed to work in operational environments?

There are many reasons one could cite, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following are at least worthy of mention.

The systems enforcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model are exposed to intruders.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore:

Intruders are generally able to gain code execution on systems participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model.

Finally:

Intruders have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic which partially contains elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se weaknesses, a large portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security countermeasures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two decades have been derived as compensating controls and visibility requirements.

The question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes:

Does this change with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud?

In brief, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is largely "yes," thankfully. Generally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems upon which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model is being enforced are not able to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enforcement mechanism, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonders of virtualization.

Should an intruder find a way to escape from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir restricted cloud platform and gain hypervisor or management network access, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in a situation similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average Windows domain network.

This realization puts a heavy burden on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud infrastructure operators. They major players are likely able to acquire and apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expertise and resources to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure far more resilient and survivable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise counterparts.

The weakness will likely be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir personnel.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute and network components are sufficiently robust from externally sourced compromise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n internal threats become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next most cost-effective and return-producing vectors for dedicated intruders.

Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re anything users can do as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir compute and data assets to cloud operators?

I suggest four moves.

First, small- to mid-sized cloud infrastructure users will likely have to piggyback or free-ride on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiatives and influence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest cloud customers, who have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clout and hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expertise to hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud operators responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of everyone's data.

Second, lawmakers may also need improved whistleblower protection for cloud employees who feel threatened by revealing material weaknesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y encounter while doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

Third, government regulators will have to ensure no cloud provider assumes a monopoly, or no two providers assume a duopoloy. We may end up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three major players and a smattering of smaller ones, as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with many mature industries.

Fourth, users should use every means at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir disposal to select cloud operators not only on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir compute features, but on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security and visibility features. The more logging and visibility exposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud provider, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. I am excited by new features like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Azure network tap and hope to see equivalent features in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cloud infrastructure.

Remember that security has two main functions: planning/resistance, to try to stop bad things from happening, and detection/respond, to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failures that inevitably happen. "Prevention eventually fails" is one of my long-time mantras. We don't want prevention to fail silently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. We need ways to know that failure is happening so that we can plan and implement new resistance mechanisms, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir effectiveness via detection and response.

Update: I forgot to mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material above assumed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud users and operators made no unintentional configuration mistakes. If users or operators introduce exposures or vulnerabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n those will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaknesses that intruders exploit. We've already seen a lot of this happening and it appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common problem. Procedures and tools which constantly assess cloud configurations for exposures and vulnerabilities due to misconfiguration or poor practices are a fifth move which all involved should make.

A corollary is that complexity can drive problems. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud infrastructure offers too many knobs to turn, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it's likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users and operators will believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are taking one action when in reality cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are implementing anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Wednesday, July 14, 2010

Network Forensics Vendors: Get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud!

I know some of us worry that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cloud" will spell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of Network Security Monitoring and related network-centric visibility and instrumentation measures. I have a proposal for any network forensics vendors reading this blog: get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud!

For example, imagine you are a proxy-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-cloud (PITC) provider, like ScanSafe, now owned by Cisco. You provide a Web portal to your customers so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can see what bad sites employees were not allowed to visit. But what about all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subtle traffic that evaded your filters, block lists, heuristics, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defensive mechanisms? What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider stealing intellectual property, indistinguishable from a "normal employee?" How does your abuse-centric Web portal address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of threats that really matter?

To me, one answer is to deploy a network forensics solution like NetWitness or Solera in front of your PITC infrastructure. The PITC vendor must have a way to identify legitimate clients, or else you've created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's greatest open Web proxy. Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identity information to tag cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network forensics product.

When a customer needs to analyze an intrusion, or conduct an investigation, he can connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosted network forensics platform.

I also like this approach because it helps address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumerization of IT. You can create a policy (weak I know, but it's an option) that Company users must point any device that processes Company data to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PITC infrastructure for Web access. By doing so you can collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network forensic data you need.

Of course, encryption is always an issue, but if really necessary I'm sure you can work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PITC vendor on a MITM approach.

I'm sure I'll get a few comments from critics saying "NSM is dead," "network traffic is worthless," etc. It's just a sign you don't know how to use that sort of data effectively, and probably never will. After evangelizing for 10 years, I've given up trying to convince critics like that.

I also don't intend for this post to be a signal that I hate logs or host-based evidence. It's just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r piece in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle.

So, network forensics vendors, who will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to publish a press release saying you've partnered with a PITC provider?

Tuesday, October 27, 2009

Initial Thoughts on Cloud A6

I'm a little late to this issue, but let me start by saying I read Craig Balding's RSA Europe 2009 Presentation this evening. In it he mentioned something called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 Working Group. I learned this is related to several blog posts and a Twitter discussion. In brief:

  • In May, Chris Hoff posted Incomplete Thought: The Crushing Costs of Complying With Cloud Customer “Right To Audit” Clauses, where Chris wrote Cloud providers I have spoken to are being absolutely hammered by customers acting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir “right to audit” clauses in contracts.

  • In June, Craig posted Stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Madness! Cloud Onboarding Audits - An Open Question... where he wondered Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re an existing system/application/protocol whereby I can transmit my policy requirements to a provider, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can respond in real-time with compliance level and any additional costs, with less structured/known requirements responded to by a human (but transmitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way)?

  • Later in June, Craig posted in Vulnerability Scanning and Clouds: An Attempt to Move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dialog On... where he spoke of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for customers to conduct vulnerability assessments of cloud providers: A “ScanAuth” API call empowers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer (or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nominated 3rd party) to scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hosted Cloud infrastructure confident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won’t fall foul of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 providers Terms of Service.

  • In July, Chris extended Craig's idea with Extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Concept: A Security API for Cloud Stacks, building on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aforementioned Twitter discussions. Chris mentioned The Audit, Assertion, Assessment, and Assurance API (A6) (Title credited to @CSOAndy)... Specifically, let’s take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of something like SCAP and embed a standardized and open API layer into each IaaS, PaaS and SaaS offering (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API blocks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram below) to provide not only a standardized way of scanning for network vulnerabilities, but also configuration management, asset management, patch remediation, compliance, etc.


Still with me? In August Network World posted A6 promises a way to check up on public cloud security, which said:

What cloud services users need is a way to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y expect is being delivered, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an effort underway for an interface that would do just that.

Called A6 (Audit, Assertion, Assessment and Assurance API) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposal is still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 works, driven by two people: Chris Hoff - who came up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea and works for Cisco - and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iron Fog blog who identifies himself as Ben, an information security consultant in Toronto.

The usefulness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 API would be that cloud providers could offer customers a look into certain aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service without compromising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r customers’ assets or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud provider’s network itself.

Work on a draft of A6 is posted here http://www.scribd.com/doc/18515297/A6-API-Documentation-Draft-011. It’s incomplete, but offers a sound framework for what is ultimately needed.


So let's see what that says:

The A6 API was designed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following concepts in mind:

  1. The security stack MUST provide external systems with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to query a utility computing provider for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security state.
Ok, that's pretty generic. We don't know what is meant by "security state," but we're just starting.
  • The stack MUST provide sufficient information for an evaluation of security state asserted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider. Same issue as #1.

  • The information exposed via public interfaces MUST NOT provide specific information about vulnerabilities or result in detailed security configurations being exposed to third parties or trusted customers. Hmm, I'm lost. I'm supposed to determine "security state" but without "specific information about vulnerabilities"?

  • The information exposed via public interfaces SHOULD NOT provide third parties or trusted customers with sufficient data as to infer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of a specific element within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 providers environment. Same issue as #4.

  • The stack SHOULD reuse existing standards, tools and technologies wherever possible. Neutral, throwaway concern.


  • That's about it, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following appearing below:

    In classic outsourcing deals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se security policies and controls would be incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 procurement contract; with cloud computing providers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to enter in specific contractual obligations for security or allow for third party audits is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limited or non-existent. However, this limitation does not reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for consuming organizations to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data.

    The A6 API is intended to close this gap by providing consuming organizations with near real-time views into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing provider. While this does not allow for consuming organizations to enforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security policies and controls upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have information to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir risk exposure.


    Before I drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question you're all waiting for, let me say that I think it is great people are thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se problems. Much better to have a discussion than to assume cloud = secure.

    However, my question is this: how does this provide "consuming organizations with near real-time views into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing provider"?

    Here is what I think is happening. Craig started this thread because he wanted a way to conduct audit and compliance (remember I highlighted those terms) activities against cloud providers without violating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms of service. I am sure Craig would agree that compliance != security.

    The danger is that someone will believe that complaince = security, thinking one could conceivably determine security state by scanning for network vulnerabilities, but also configuration management, asset management, patch remediation, compliance, etc..

    This is like network access control all over again. A good "security state" means you're allowed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network because your system is configured "properly," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is "patched," and so on. Never mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is 0wned. Never mind that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no API for quering 0wnage.

    Don't get me wrong, this is a really difficult problem. It is exceptionally difficult to assess true system state by asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, since you are at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mercy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. It could be worse with cloud and virtual infrastructure if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual infrastructure. Customer queries cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 API and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud returns a healthy response, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality. Shoot, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud could say it IS healthy by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of patches or configuration and still be 0wned.

    I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's more thought required here, but that doesn't mean A6 is a waste of time -- if we are clear that it's more about compliance and really nothing about security, or especially trustworthiness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets.

    Saturday, June 16, 2007

    Enterprise Data Centralization

    I've written about thin client computing for several years. However, I haven't written about a natural complement to thin client computing -- enterprise data centralization. In this world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thin client is merely a window to a centralized data store (sufficiently implemented according to business continuity processes and methods like redundancy, etc.). That vision can be implemented today, albeit really only where low-latency, uninterrupted, decent bandwidth is available.

    Thanks to EDD Blog I just read an article that makes me think legal forces will drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption of this strategy: Opinion: Data Governance Will Eclipse CIO Role by Jay Cline. He writes:

    In response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new U.S. Federal Rules on Civil Procedure regarding legal discovery, for example, several general counsels have ordered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 establishment of centralized "litigation servers" that store copies of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies’ electronic files. They think this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to preserve and cheaply produce evidence for pending or foreseeable litigation. It’s a very small leap of logic for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to propose that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir companies’ data, not just copies, should be centralized...

    Data must soon become centralized, its use must be strictly controlled within legal parameters, and information must drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business model. Companies that don’t put a single, C-level person in charge of making this happen will face two brutal realities: lawsuits driving up costs and eroding trust in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, and competitive upstarts stealing revenues through more nimble use of centralized information.


    The rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article talks about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of CIOs, CTOs, "chief information strategists," etc., but I don't care about that. I care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data centralization aspect.

    For me, data centralization will be a major cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me in my new job. If only to meet ediscovery requirements, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, copies of all business information will need to be stored centrally. This strategy will give users of any computing platform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility to create information locally, but that data will quickly find a second home (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 central data store. Ideally (once bandwidth is ubiquitous) all business data will reside centrally, from creation to destruction (in accordance with data rentention and data destruction policies). Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, that data will be subjected to protections at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document level, not just at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, OS, and platform level.

    This strategy addresses many problems very nicely.

    1. Ediscovery: With at least copies of all data stored locally, all relevant data can be searched and produced.

    2. Business Continuity: If your computing platform is destroyed, all your data (or at least a copy) is stored elsewhere.

    3. Incident Recovery: As I said in my Five Thoughts on Incident Response:

      Today, in 2007, I am still comfortable saying that existing hardware can usually be trusted, without evidence to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contrary, as a platform for reinstallation. This is one year after I saw John Heasman discuss PCI rootkits (.pdf)... John's talks indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day is coming when even hardware that hosted a compromised OS will eventually not be trustworthy.

      One day I will advise clients to treat an incident zone as if a total physical loss has occurred and new platforms have to be available for hosting a reinstallation. If you doubt me now, wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post in a few years where I link back to this point. In brief, treat an incident like a disaster, not a nuisance. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, you will be perpetually compromised.


      With thin client computing and data centralization, incident recovery means discarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old computing platform and starting with a fresh one.

    4. System Administration: We will avoid Marcus Ranum's "Infocalypse," preventing every man, woman, and child from becoming a Windows system administrator. Scare IT staff will administer centralized systems and end users will no longer have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power or need to install software. The Personal Computer will be replaced by a window to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Business Computer, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform itself might be a consumer platform like a smartphone. (Of course, PCs will still be options outside business needs.)

    5. Information Lifecycle Management: ILM includes data classification, defense, retention, and destruction. With all data in a central location, it will be easier to classify it and apply classification-appropriate handing and defense tools and techniques. It is important to remember that not all data is worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same value and trying to protect it all with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools and techniques is too costly. (Did you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Postal Service will carry up to Secret classified data within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, provided it is wrapped appropriately and sent via registered mail? The idea is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of interception is worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 savings over having a courier transport Secret material.)


    What data centralization and/or thin computing is your organization pursuing, and why?

    Monday, February 20, 2006

    Security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud

    A blog reader recently asked me to comment on this Security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud debate. First, a word on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposing sides. The Yes proponent, Brad Miller, is CEO of Perimeter Internetworking. His company looks like a managed security services firm, except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are latched onto Gartner's security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud idea. That is derived from MCI's (now Verizon's) concept of filtering traffic on its backbones. I find it odd that a company like Perimeter Internetworking can ride cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud bandwagon when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud!

    The No proponent is Bruce Schneier, CTO of Counterpane. He is not exactly saying no to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea though:

    [A] choice between implementing network security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network - in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud - or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoints is a false dichotomy. No single security system is a panacea, and it's far better to do both...

    I'm all in favor of security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. If we could build a new Internet today from scratch, we would embed a lot of security functionality in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. But even that wouldn't substitute for security at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoints. Defense in-depth beats a single point of failure, and security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud is only part of a layered approach.


    So perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument should have been framed "security only in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud"? In that respect, Bruce would obviously disagree because (1) it is a bad idea, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security necessity of layered defenses; and (2) as a MSSP, Counterpane would lose business. Counterpane will lose business anyway, since ISPs like Verizon, Sprint, and at&t are offering cloud-based security services. Mr. Miller foolishly favors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abolition of end-user , or "CPE" (Customer Premise Equipment) security:

    The bottom line is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 superior protection, economics and speed of deployment of security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud will furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r marginalize CPE-based managed security. Large carriers will embrace security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud and will obviate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for CPE systems.

    This statement demonstrates Mr. Miller has no concept of security principles.

    In any case, I see fewer ISPs offering unfiltered, "clean" pipes, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "clean" seems at odds with carrying "dirty" DoS traffic, spam, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. ISPs are already filtering common Microsoft Windows ports. This trend will only continue.