Showing posts with label controls. Show all posts
Showing posts with label controls. Show all posts

Tuesday, June 09, 2015

Continuous Diagnostic Monitoring Does Not Detect Hackers

There is a dangerous misconception coloring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last week, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Personnel Management (OPM), I have been discussing countermeasures with many parties. Concerned officials, staffers, and media have asked me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein and Continuous Diagnostic Monitoring (CDM) programs. It has become abundantly clear to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a fundamental misunderstanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of CDM. This post seeks to remedy that problem.

The story Federal cyber protection knocked as outdated, behind schedule by Cory Bennett unfortunately encapsulates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misunderstanding about Einstein and CDM:

The main system used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government to protect sensitive data from hacks has been plagued by delays and criticism that it is already outdated — months before it is even fully implemented.

The Einstein system is intended to repel cyberattacks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one revealed last week by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Personnel Management (OPM)...

Critics say Einstein has been a multibillion-dollar boondoggle that is diverting attention away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security overhaul that is needed...

To offset those shortcomings, officials in recent years started rolling out a Continuous Diagnostics and Mitigation (CDM) program, which searches for nefarious actors once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks. It’s meant to complement and eventually integrate with Einstein. (emphasis added)

The section I bolded and underlined is 100% false. CDM does not "search" for "nefarious actors" "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks." CDM is a vulnerability management program. Please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper left. It depicts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 six phases of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program:

  1. Install/update "sensors." (More on this shortly)
  2. Automated search for flaws.
  3. Collect results from departments and agencies.
  4. Triage and analyze results.
  5. Fix worst flaws.
  6. Report progress.
CDM searches for flaws (i.e., vulnerabilities), and Federal IT workers are supposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flaws. The "sensors" mentioned in step 1 are vulnerability management and discovery platforms. They are not searching for intruders. You could be forgiven for misunderstanding what "sensor" means. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM page:


The CDM program enables government entities to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir continuous diagnostic capabilities by increasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network sensor capacity, automating sensor collections, and prioritizing risk alerts.

Again, "sensor" here does not mean "sensing" to find intruders. The next paragraph says:

CDM offers commercial off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf (COTS) tools, with robust terms for technical modernization as threats change. First, agency-installed sensors perform an automated search for known cyber flaws. Results feed into a local dashboard that produces customized reports, alerting network managers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir worst and most critical cyber risks based on standardized and weighted risk scores. Prioritized alerts enable agencies to efficiently allocate resources based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk. Progress reports track results, which can be used to compare security posture among department/agency networks.  Summary information can feed into an enterprise-level dashboard to inform and situational awareness into cybersecurity risk posture across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government.


The "situational awareness" here means configuration and patch status, not intrusion status.

I captured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CMD figure from US-CERT's Continuous Diagnostic Monitoring program overview (pdf). It also appears on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM page. The US-CERT program Web page lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core tools used for CDM as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • Intro to Hardware Asset Management (HWAM)
  • Intro to Software Asset Management (SWAM)
  • Intro to Vulnerability Management (VUL)
  • Intro to Configuration Settings Management (CSM)

As you can see, CDM is about managing infrastructure, not detecting and responding to intruders. Don't be fooled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitoring" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term CDM; "monitoring" here means looking for flaws.

In contrast, Einstein is an intrusion detection and prevention platform. It is a network-based system that uses threat signatures to identify indications of compromise observable in network traffic. Einstein 1 and 2 were more like traditional IDS technologies, while Einstein 3 and 3 accelerated are more like IDP technologies. 

Critics of my characterization might say "CDM is more than faster patching." According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSA page on CDM, CDM as I described earlier is only phase 1:
Endpoint Integrity
  • HWAM – Hardware Asset Management
  • SWAM – Software Asset Management
  • CSM – Configuration Settings Management
  • VUL – Vulnerability Management

Phase 2 will include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Least Privilege and Infrastructure Integrity
  • TRUST –Access Control Management (Trust in People Granted Access)
  • BEHAVE – Security-Related Behavior Management
  • CRED – Credentials and Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication Management
  • PRIV – Privileges

Phase 3 will include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
Boundary Protection and Event Management for Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Lifecycle
  • Plan for Events
  • Respond to Events
  • Generic Audit/Monitoring
  • Document Requirements, Policy, etc.
  • Quality Management
  • Risk Management
  • Boundary Protection – Network, Physical, Virtual

What do you not see listed in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se phases? Aside from "respond to events," which does not appear to mean intrusions, I still see no strong focus on detecting and responding to intrusions. CDM beyond phase 1 is still just dealing with "cyber hygiene." Unfortunately, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President does not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper strategic focus. As reported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hill:

President Obama acknowledged that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States’s problems is that it has a “very old system.”

“What we are doing is going agency by agency and figuring out what can we fix with better practices and better computer hygiene by personnel, and where do we need new systems and new infrastructure in order to protect information,”

Don't misunderstand my criticism of CDM as praise for Einstein. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, Einstein, or a technology like it, should have been deployed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government while I was still in uniform, 15 years ago. We had equivalent technology in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force 20 years ago. (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword for my latest book online for history.)

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, I'm not saying that CDM is a bad approach. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM phases are needed. I understand that intruders are going to have an easy time getting back into a poorly secured network.

My goal with this post is to show that CDM is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r being sold as, or misunderstood as, a way to detect intruders. CDM is not an intrusion detection program; CDM is a vulnerability management program, a method to Find and Fix Flaws Faster. CDM should have been called "F^4, F4, or 4F" to capture this strategic approach.

The focus on CDM has meant intruders already present in Federal networks are left to steal and fortify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions, while scarce IT resources are devoted to patching. The Feds are identifying and locking doors and windows while intruders are inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house.

It's time for a new (yet ideologically very old) strategy: find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n conduct counter-intrusion campaigns to stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y inevitably return. CDM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real "multibillion-dollar boondoggle that is diverting attention away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security overhaul that is needed." The OPM breach is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest consequence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misguided CDM-centric strategy.

Tuesday, November 22, 2011

Why DIARMF, "Continuous Monitoring," and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r FISMA-isms Fail

I've posted about twenty FISMA stories over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years on this blog, but I haven't said anything for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year and a half. After reading Goodbye DIACAP, Hello DIARMF by Len Marzigliano, however, I thought it time to reiterate why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly "improved" FISMA is still a colossal failure.

First, a disclaimer: it's easy to be a cynic and a curmudgeon when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and security are involved. However, I think it is important for me to discuss this subject because it represents an incredible divergence between security people. On one side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 divide we have "input-centric," "control-compliant," "we-can-prevent-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-threat" folks, and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side we have "output-centric," "field-assessed," "prevention eventually fails" folks. FISMA fans are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and I am cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with FISMA? In his article Len expertly discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new DoD Information Assurance Risk Management Framework (DIARMF) in comparison to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older DoD Information Assurance Certification and Accreditation Process (DIACAP). DIARMF is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new FISMA" emphasis on "continuous monitoring" which I've discussed before.

Len writes "DIARMF represents DoD adoption of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST Risk Management Framework process" and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram at left with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caption "The six major steps of Risk Management Framework aligned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five phases of a System Development Lifecycle (SDLC)."

Does anything seem to be missing in that diagram? I immediately key on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "MONITOR Security Controls" box. As I reminded readers in Thoughts on New OMB FISMA Memo, control monitoring is not threat monitoring. The key to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new" FISMA and "continuous monitoring" as seen in DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, described by Len:

Equally profound within DIARMF is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increased requirements for Continuous Monitoring activities. Each control (and control enhancement) will be attributed with a refresh rate (daily, weekly, monthly, yearly) and requisite updates on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of each control will be packaged into a standardized XML format and uploaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CyberScope system where analysis, risk management, and correlation activities will be performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregate data.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than checking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture every three years or whatever insane interval that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old FISMA used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new FISMA checks security posture more regularly, and centralizes posture reporting.

Wait, isn't that a good idea? Yes, it's a great idea -- but it's still control monitoring. I can't stress this enough; under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, a box can be totally owned but appear "green" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA dashboard because it's compliant with controls. Why? There is no emphasis on threat monitoring -- incident detection and response -- which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only hope we have against any real adversary.

Think I'm wrong? Read Len's words on CyberScope:

CyberScope is akin to a giant federal-wide SEIM system, where high-level incident management teams can quickly pull queries or drill down into system details to add analysis on system defenses and vulnerabilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available intelligence on an attack. CyberScope data will also be used to track trends, make risk management decisions, and determine where help is needed to improve security posture.

If you're still not accepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, consider this football analogy.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old system, you measured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You checked again three years later. You kept data on all your players but had no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game was.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system, you measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height, weight, 40 yard dash, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "combine" results on a player when he joins cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team. You check again more regularly -- maybe even every hour, and store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in a central location with a fancy Web UI. You keep data on all your players but still have no idea what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is.

Until DoD, NIST, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r control-compliant cheerleaders figure out that this approach is a failure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's computers will remain compromised.

Note: There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems with DIARMF -- read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section where Len says "This shakes out to easily over a hundred different possible control sets that can be attributed to systems" to see what I mean.

Thursday, December 03, 2009

Let a Hundred Flowers Blossom


I know many of us work in large, diverse organizations. The larger or more complex cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more difficult it is to enforce uniform security countermeasures. The larger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 population to be "secure," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely exceptions will bloom. Any standard tends to devolve to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least common denominator. There are some exceptions, such as FDCC, but I do not know how widespread that standard configuration is inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government.

Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficulty of applying a uniform, worthwhile standard, we run into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diversity vs monoculture argument from 2005. I tend to side with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diversity point of view, because diversity tends to increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost borne by an intruder. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it's cheaper to develop exploitation methods for a target who 1) has broadly similar, if not identical, systems and 2) publishes that standard so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder can test attacks prior to "game day."

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus on uniform standards is a manifestation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle between two schools of thought: Control-Compliant vs Field-Assessed Security. The control-compliant team believes that developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "best standard," and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n applying that standard everywhere, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important aspect of security. The field-assessed team (where I devote my effort) believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result is more important than how you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

I am not opposed to developing standards, but I do think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control-compliant school of thought is only half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle -- and that controls occupy far more time and effort than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are worth. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard whicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of battle, i.e., once field-assessed it is found to be lacking, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard is a failure. Compliance with a failed standard is worthless at that point.

However, I'd like to propose a variation of my original argument. What if you abandon uniform standards completely? What if you make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity field-assessed instead of control-compliant, by conducting assessments of systems? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, let a hundred flowers blossom.

(If you don't appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 irony, do a little research and remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of threats that occupy much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of many this blog's readers!)

So what do I mean? Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than making compliance with controls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of security activity, make assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority. Conduct blue and red team assessments of information assets to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y meet various resistance and (maybe) "survivability" metrics. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, we won't care how you manage to keep an intruder from exploiting your system, as long as it takes longer for a blue or red assesor with time X and skill level Y and initial access level Z (or something to that effect).

In such a world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's plenty of room for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who wants to run Plan 9 without anti-virus, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who runs FreeBSD with no graphical display or Web browser, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who runs anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "nonstandard" platform or system -- as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir system defies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field assessment conducted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue and red teams. (Please note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one "standard" I would apply to all assets is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y 1) do no harm to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r assets and 2) do not break any laws by running illegal or unlicensed software.)

If a "hundred flowers" is too radical, maybe consider 10. Too tough to manage all that? Guess what -- you are likely managing it already. So-called "unmanaged" assets are everywhere. You probably already have 1000 variations, never mind 100. Maybe it's time to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's inability to survive against blue and red teams cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measure of failure, not whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is "compliant" with a standard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measure of failure?

Now, I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is likely to be a high degree of correlation between "unmanaged" and vulnerable in many organizations. There's probably also a moderate degree of correlation between "exceptional" (as in, this box is too "special" to be considered "managed") and vulnerable. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exceptional systems may be impervious to all but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most dedicated intruders. In any case, accepting that diversity is a fact of life on modern networks, and deciding to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resistance level of those assets, might be more productive than seeking to develop and apply uniform standards.

What do you think?

Monday, November 23, 2009

Control "Monitoring" is Not Threat Monitoring

As I write this post I'm reminded of General Hayden's advice:

"Cyber" is difficult to understand, so be charitable with those who don't understand it, as well as those who claim "expertise."

It's important to remember that plenty of people are trying to act in a positive manner to defend important assets, so in that spirit I offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following commentary.

Thanks to John Bambanek's SANS post I read NIST Drafts Cybersecurity Guidance by InformationWeek's J. Nicholas Hoover.

The article discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest draft of SP 800-37 Rev. 1:
DRAFT Guide for Applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach
.

I suspected this to be problematic given NIST's historical bias towards "controls," which I've criticized in Controls Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solution to Our Problem and Consensus Audit Guidelines Are Still Controls. The subtext for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article was:

The National Institute for Standards and Technology is urging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government to continuously monitor its own cybersecurity efforts.

As soon as I read that, I knew that NIST's definition of "monitor" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article's definition of "monitor" did not mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real sort of monitoring, threat monitoring, that would make a difference against modern adversaries.

The article continues:

Special Publication 800-37 fleshes out six steps federal agencies should take to tackle cybersecurity: categorization, selection of controls, implementation, assessment, authorization, and continuous monitoring...

Finally, and perhaps most significantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document advises federal agencies to put continuous monitoring in place. Software, firmware, hardware, operations, and threats change constantly. Within that flux, security needs to be managed in a structured way, Ross says.

"We need to recognize that we work in a very dynamic operational environment," Ross says. "That allows us to have an ongoing and continuing acceptance and understanding of risk, and that ongoing determination may change our thinking on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r current controls are sufficient."

The continuous risk management step might include use of automated configuration scanning tools, vulnerability scanning, and intrusion detection systems, as well as putting in place processes to monitor and update security guidance and assessments of system security requirements.


Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preceding text mentions "intrusion detection systems," but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text has nothing to do with real monitoring, i.e., detecting and responding to intrusions. I'm not just talking about network-centric approaches, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way -- infrastructure, host, log, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources are all real monitoring, but this is not what NIST means by "monitoring."

To understand NIST's view of monitoring, try reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new draft. I'll insert my comments.

APPENDIX G

CONTINUOUS MONITORING

MANAGING AND TRACKING THE SECURITY STATE OF INFORMATION SYSTEMS

A critical aspect of managing risk from information systems involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security controls employed within or inherited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.65

[65 A continuous monitoring program within an organization involves a different set of activities than Security Incident Monitoring or Security Event Monitoring programs.]


So, it sounds like activities that involve actually watching systems are not within scope for "continuous monitoring."

Conducting a thorough point-in-time assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployed security controls is a necessary but not sufficient condition to demonstrate security due diligence. An effective organizational information security program also includes a rigorous continuous monitoring program integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system development life cycle. The objective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring program is to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of deployed security controls continue to be effective over time in light of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitable changes that occur.

That sounds ok so far. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of evaluations to determine if controls are effective over time. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next section below we get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, and why I wrote this post.

An effective organization-wide continuous monitoring program includes:

• Configuration management and control processes for organizational information systems;

• Security impact analyses on actual or proposed changes to organizational information systems and environments of operation;67

• Assessment of selected security controls (including system-specific, hybrid, and common controls) based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization-defined continuous monitoring strategy;68

• Security status reporting to appropriate organizational officials;69 and

• Active involvement by authorizing officials in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing management of information system-related security risks.


Ok, where is threat monitoring? I see configuration management, "control processes," reporting status to "officials," "active involvement by authorizing officials," and so on.

The next section tells me what NIST really considers to be "monitoring":

Priority for security control monitoring is given to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reatest volatility and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls that have been identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization’s plan of action and milestones...

[S]ecurity policies and procedures in a particular organization may not be likely to change from one year to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next...

Security controls identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan of action and milestones are also a priority in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuous monitoring process, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls have been deemed to be ineffective to some degree.

Organizations also consider specific threat information including known attack vectors (i.e., specific vulnerabilities exploited by threat sources) when selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 set of security controls to monitor and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frequency of such monitoring...


Have you broken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code yet? Security control monitoring is a compliance activity. Granted, this is an improvement from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical certification and accreditation debacle, where "security" is assessed via paperwork exercises every three years. Instead, .gov compliance teams will perform so-called "continuous monitoring," meaning more regular checks to see if systems are in compliance.

Is this really an improvement?

I don't think so. NIST is missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point. Their approach advocates Control-compliant security, not field-assessed security. Their "scoreboard" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a compliance audit, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of systems under adversary control or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data exfiltrated or degraded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

I don't care how well your defensive "controls" are informed by offense. If you don't have a Computer Incident Response Team performing continuous threat monitoring for detection and response, you don't know if your controls are working. The NIST document has a few hints about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right approach, at best, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "monitoring" guidance is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r compliance activity.

Monday, November 26, 2007

Controls Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solution to Our Problem

If you recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inspiration for this post title and graphic, you'll understand my ultimate goal. If not, let me start by saying this post is an expansion of ideas presented in a previous post with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 succinct and catchy title Control-Compliant vs Field-Assessed Security.

In brief, too many organizations, regulators, and government agencies waste precious time and resources devising and auditing "controls," regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls have or do not have on security. They are far too input-centric; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should become more output-aware. They obsess over recording conditions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believe may be helpful while remaining ignorant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game." They practice management by belief and disregard management by fact.

Let me provide a few examples from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 canonical texts used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control-compliant crowd: NIST Special Publication 800-53: Recommended Security Controls for Federal Information Systems (.pdf). The following is an example of a control, taken from page 140.

SI-3 MALICIOUS CODE PROTECTION


The information system implements malicious code protection.

Control: Supplemental Guidance: The organization employs malicious code protection mechanisms at critical information system entry and exit points (e.g., firewalls, electronic mail servers, web servers, proxy servers, remote-access servers) and at workstations, servers, or mobile computing devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. The organization uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code protection mechanisms to detect and eradicate malicious code (e.g., viruses, worms, Trojan horses, spyware) transported: (i) by electronic mail, electronic mail attachments, Internet accesses, removable media (e.g., USB devices, diskettes or compact disks), or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r common means; or (ii) by exploiting information system vulnerabilities. The organization updates malicious code protection mechanisms (including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest virus definitions) whenever new releases are available in accordance with organizational configuration management policy and procedures. The organization considers using malicious code protection software products from multiple vendors (e.g., using one vendor for boundary devices and servers and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor for workstations). The organization also considers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receipt of false positives during malicious code detection and eradication and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting potential impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system. NIST Special Publication 800-83 provides guidance on implementing malicious code protection.

Control Enhancements:
(1) The organization centrally manages malicious code protection mechanisms.
(2) The information system automatically updates malicious code protection mechanisms.


At first read one might reasonably respond by saying "What's wrong with that? This control advocates implementing anti-virus and related anti-malware software." Think more clearly about this issue and several problems appear.

  • Adding anti-virus products can introduce additional vulnerabilities to systems which might not have exposed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves without running anti-virus. Consider my post Example of Security Product Introducing Vulnerabilities if you need examples. In short, add anti-virus, be compromised.

  • Achieving compliance may cost more than potential damage. How many times have you heard a Unix administrator complain that he/she has to purchase an anti-virus product for his/her Unix server simply to be compliant with a control like this? The potential for a Unix server (not Mac OS X) to be damaged by a user opening an email through a client while logged on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server (a very popular exploitation vector on a Windows XP box) is practically nil.

  • Does this actually work? This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question that no one asks. Does it really matter if your system is running anti-virus software? Did you know that intruders (especially high-end ones most likely to selectively, steathily target cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very .gov and .mil systems required to be compliant with this control) test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir malware against a battery of anti-virus products to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code wins? Are weekly updates superior to daily updates? Daily to hourly?


The purpose of this post is to tentatively propose an alternative approach. I called this "field-assessed" in contrast to "control-compliant." Some people prefer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "results-based." Whatever you call it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea is to direct attention away from inputs and devote more energy to outputs. As far as mandating inputs (like every device must run anti-virus), I say that is a waste of time and resources.

I recommend taking measurements to determine your enterprise "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game," and use that information to decide what you need to do differently. I'm not suggesting abandoning efforts to prevent intrusions (i.e., "inputs.") Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, don't think your security responsibilities end when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottle is broken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bow of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ship and it slides into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea. You've got to keep watching to see if it sinks, if pirates attack, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifeboats handle rough seas, and so forth.

These are a few ideas.

  1. Standard client build client-side survival test. Create multiple sacrificial systems with your standard build. Deploy a client-side testing solution on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, like a honeyclient. (See The Sting for a recent story.) Vary your defensive posture. Measure how long it takes for your standard build to be compromised by in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-wild Web sites, spam, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world.

  2. Standard client build server-side survival test. Create multiple sacrificial systems with your standard build. Deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a honeynet. Vary your defensive posture. Measure how long it takes for your standard build to be compromised by malicious external traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world -- or better yet -- from your internal network.

  3. Standard client build client-side penetration test. Create multiple sacrificial systems with your standard build. Conduct my recommendation penetration testing activities and time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result.

  4. Standard client build server-side penetration test. Repeat number 3 with a server-side flavor.

  5. Standard server build server-side penetration test. Repeat number 3 against your server build with a server-side flavor. I hope you don't have users operating servers as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were clients (i.e., browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web, reading email, and so forth.) If you do, repeat this step and do a client-side pen test too.

  6. Deploy low-interactive honeynets and sinkhole routers in your internal network. These low-interaction systems provide a means to get some indications of what might be happening inside your network. If you think deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external network might reveal indications of targeted attacks, try that. (I doubt it will be that useful due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall attack noise, but who knows?)

  7. Conduct automated, sampled client host integrity assessments. Select a statistically valid subset of your clients and check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m using multiple automated tools (malware/rootkit/etc. checkers) for indications of compromise.

  8. Conduct automated, sampled server host integrity assessments. Self-explanatory.

  9. Conduct manual, sampled client host integrity assessments. These are deep-dives of individual systems. You can think of it as an incident response where you have not had indication of an incident yet. Remote IR tools can be helpful here. If you are really hard-core and you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, resources, and cooperation, do offline analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive.

  10. Conduct manual, sampled server host integrity assessments. Self-explanatory.

  11. Conduct automated, sampled network host activity assessments. I questioned adding this step here, since you should probably always be doing this. Sometimes it can be difficult to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, however automated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collection. The idea is to let your NSM system see if any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic it sees is out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ordinary based on algorithms you provide.

  12. Conduct manual, sampled network host activity assessments. This method is more likely to produce results. Here a skilled analyst performs deep individual analysis of traffic on a sample of machines (client and server, separately) to see if any indications of compromise appear.


In all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cases, trend your measurements over time to see if you see improvements when you alter an input. I know some of you might complain that you can't expect to have consistent output when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat landscape is constantly changing. I really don't care, and neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r does your CEO or manager!

I offer two recommendations:

  • Remember Andy Jaquith's criteria for good metrics, simplified here.


    1. Measure consistently.

    2. Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cheap to measure. (Sorry Andy, my manual tests violate this!)

    3. Use compound metrics.

    4. Be actionable.


  • Don't slip into thinking of inputs. Don't measure how many hosts are running anti-virus. We want to measure outputs. We are not proposing new controls.


Controls are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to our problem. Controls are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. They divert too much time, resources, and attention from endeavors which do make a difference. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indications I am receiving from readers and friends are true, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas in this post are gaining traction. Do you have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ideas?

Friday, July 07, 2006

Control-Compliant vs Field-Assessed Security

Last month's ISSA-NoVA meeting featured Dennis Heretick, CISO of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Department of Justice. Mr. Heretick seemed like a sincere, devoted government employee, so I hope no one interprets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following remarks as a personal attack. Instead, I'd like to comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security mindset prevalent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government. Mr. Heretick's talk sharpened my thoughts on this matter.

Imagine a football (American-style) team that wants to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir success during a particular season. Team management decides to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height and weight of each player. They time how fast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 player runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40 yard dash. They note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 college from which each player graduated. They collect many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r statistics as well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n spend time debating which ones best indicate how successful cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 football team is. Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center weigh over 300 pounds? Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wide receivers have a shoe size of 11 or greater? Should players from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 north-west be on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 starting line-up? All of this seems perfectly rational to this team.

An outsider looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation and says: "Check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scoreboard! You're down 42-7 and you have a 1-6 record. You guys are losers!"

In my opinion, this summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of US government information security managers.

Here are some examples from Mr. Heretick's talk. He showed a "dashboard" with various "metrics" that supposedly indicate improved DoJ security. The dashboard listed items like:

  • IRP Reporting: meaning Incident Response Plan reporting, i.e., does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit have an incident response plan? This says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRP.

  • IRP Exercised: has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit exercised its IRP? This says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise.

  • CP Developed: meaning Contingency Plan developed, i.e, does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit have a contingency plan should disaster strike? This also says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CP.

  • CP Exercised: has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ unit exercised its CP? Same story as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRP.


Imagine a dashboard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, with all "green" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se items. They say absolutely nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

How should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score be measured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n? Here are a few ideas, which are neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mutually exclusive nor exceedingly well-thought-out:

  • Days since last compromise of type X: This is similar to a manufacturing plant's "days since an accident" report or a highway's "days since a fatality" report. For some sites this number may stay zero if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is always compromised. The higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better.

  • System-days compromised: This looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of systems compromised, and for how many days, during a specified period. The lower, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better.

  • Time for a pen testing team of [low/high] skill with [internal/external] access to obtain unauthorized [unstealthy/stealthy] access to a specified asset using [public/custom] tools and [complete/zero] target knowledge: This is from my earlier penetration testing story.


These are just a few ideas, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y relate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual question management should care about: are we compromised, and how easy is it for us to be compromised?

I explained my football analogy to Mr. Heretick and asked if he would adopt it. He replied that my metrics would discourage DoJ units from reporting incidents, and that reporting incidents was more important to him than anything else. This is ridiculous, and it indicates to me that organizations like this (and probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole government) need independent, Inspector General-style units that roam freely to assess networks and discover intruders.

In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 style of "security" advocated by government managers seems to be "control-compliant." I prefer "field-assessed" security, although I would be happy to replace that term with something more descriptive. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites (link will work shortly) Alan Paller used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "attack-based metrics," saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA laptop fiasco: "if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA security policies are imprecise and untestable, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA doesn't monitor attack-based metrics, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no repercussions for employees who ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important policies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this move [giving authority to CISOs] will have no impact at all."

PS: Mr. Heretick shared an interesting risk equation model. He uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following to measure risk.

  • Vulnerability is measured by assessing exploitability (0-5), along with countermeasure effectiveness (0-2). Total vulnerability is exploitability minus countermeasures.

  • Threat is measured by assessing capability (1-2), history (1-2), gain (1-2), attributability (1-2), and detectability (1-2). Total threat is capability plus history plus gain minus attributability minus detectability.

  • Significance (i.e., impact or cost) is measured by assessing loss of life (0 or 4), sensitivity (0 or 4), operational impact (0 or 2), and equipment loss (0 or 2). Total significance is loss plus op impact plus sensitivity plus equipment loss.

  • Total risk is vulnerability times threat times significance, with < 6 very low, 6-18 low, 19-54 medium, 55-75 high, and >75 very high.