Showing posts with label dod. Show all posts
Showing posts with label dod. Show all posts

Thursday, December 10, 2015

Domain Creep? Maybe Not.

I just read a very interesting article by Sydney Freedberg titled DoD CIO Says Spectrum May Become Warfighting Domain. That basically summarizes what you need to know, but here's a bit more from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Pentagon officials are drafting new policy that would officially recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electromagnetic spectrum as a “domain” of warfare, joining land, sea, air, space, and cyberspace, Breaking Defense has learned. 

The designation would mark cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest shift in Defense Department doctrine since cyberspace became a domain in 2006. With jamming, spoofing, radio, and radar all covered under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new concept, it could potentially bring new funding and clear focus to an area long afflicted by shortfalls and stovepipes.

The new electromagnetic spectrum domain would be separate from cyberspace, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s considerable overlap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two... 

But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consensus among officials and experts seems to be that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electromagnetic spectrum world — long divided between electronic warriors and spectrum managers — is so technologically complex and bureaucratically fragmented by itself it must be considered its own domain, without trying to conflate it with cyberspace.

My initial reaction to this move is mixed. History and definitions provide some perspective.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian and military views of "cyberspace" has been, prior to this story, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military's more expansive view.

The formerly classified National Military Strategy for Cyberspace Operations, published in 2006, defined cyberspace as

A domain characterized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of electronics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electromagnetic spectrum to store, modify, and exchange data via networked systems and associated physical infrastructures. (emphasis added)

The NMS-CO in a sense embedded cyberspace within EMS. That document also signaled DoD's formal recognition of cyberspace as a domain. By associating EMS with cyberspace, DoD thought of cyberspace in larger terms than civilian counterparts. In addition to activities involving computers, now cyberspace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically incorporated electronic warfare and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r purely military functions with little or no relationship with civilian activities.

Army Doctrine Reference Publication No. 3-0 published in 2012 introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "cyber electromagnetic activities" (CEMA). It defined CEMA as

Activities leveraged to seize, retain, and exploit an advantage over adversaries and enemies in both 
cyberspace and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electromagnetic spectrum, while simultaneously denying and degrading adversary and enemy use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same and protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission command system. Cyber electromagnetic activities consist of cyberspace operations, electronic warfare, and electromagnetic spectrum operations.

This Army publication separates cyberspace and EMS, and created "CEMA" as an umbrella over both.

The more recent  Joint Publication 3-12R, published in 2013, drops explicit mention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EM spectrum. It defines cyberspace as

A global domain within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information environment consisting of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interdependent networks of information technology infrastructures and resident data, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, telecommunications networks, computer systems, and embedded processors and controllers.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definitions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir evolution out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, consider what it means for cyberspace to be separate from EMS.

In my opinion, cyberspace has always been more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, and less cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that matters, not necessarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containers. I first appreciated this distinction when I was stationed at Air Intelligence Agency, where we helped publish Air Force Doctrine Document 2-5: Information Operations in August 1998. Page 3 states

The Air Force believes information operations include actions taken to gain, exploit, defend, or attack [GEDA] information and information systems. (emphasis added)

*Note that document doesn't use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "cyber" very much. When describing information warfare, it states

Information warfare involves such diverse activities as psychological operations, military deception, electronic warfare, both physical and information (“cyber”) attack, and a variety of defensive activities and programs.

In any case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "GEDA" concept stuck with me all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se years. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, is conceptually useful. Consider: would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be "cyberspace" if it contained no information? The answer might be yes, but would anyone care to use it? It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that makes "cyberspace" what it is, I believe.

In this sense, separating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical aspect of EMS seems to make sense. However, what does that mean for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physical aspects of manipulating information? EMS seems most tangible when considering radio and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r radio frequency (RF) topics. How does that concept apply to cables or servers or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r devices? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y part of EMS? Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y "stay" with "cyberspace"?

Finally, I am a little worried that a reason from creating EMS as a sixth domain could be because it is " technologically complex and bureaucratically fragmented," as described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article excerpt. "Creating" a military domain should not be done to solve problems of complexity or bureaucracy. Domains should be used as constructs to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clarity of thinking around warfighting, at least in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military world.

Addendum: When reading Joint Publication 3-13: Information Operations for this post, I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following figure:


It is one way to show that DoD considers Information Operations to be a much larger concept than you might consider. IO is often neglected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cyber" discussions, but with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas concerning EMS, IO might be hot again.

Friday, August 31, 2007

Lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Military

Jay Heiser is a smart guy, but I don't know why he became so anti-military when he wrote Military mindset no longer applicable in our line of work last year. He wrote in part:

The business world should stop looking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense community for direction on information security.

I used to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice of information security owed a huge debt to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. I couldn't have been more wrong...

The business world doesn't need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense community to help it develop secure technology, and, whenever it accepts military ideas, it winds up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong agenda...

It's time our profession stops playing war games and gets in touch with its business roots.


I found two responses, Opinion: Military security legacy is one of innovation, integrity and Opinion: The importance of a military mindset, countering Mr. Heiser. I also found poll results showing 77% of respondents answered "absolutely critical" or "somewhat important" when reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question "How important is a military mindset when planning and executing an enterprise security strategy?"

Well, it's Friday night and you know what that means in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bejtlich household. That's right, time to watch a new episode of Dogfights. I don't have any insights based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 episode I just watched, but it reminded me of training I received my first summer at Camp USAFA.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercises we ran involved Air Base Ground Defense. We learned some basic principles and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n acted first as attackers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n defenders. It occurred to me that ABGD is in some ways similar to defending digital assets, although we digital security people are not armed. This denies us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of truly deterring and incapacitating threats. Attribution is also easier when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy is physically present.

Still, I'd like to do my part showing Mr. Heiser what business can learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. Much of corporate America (and Germany, and Japan) seems to be having its lunch eaten by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese dragon, so it's time to take some lessons from people who do security for a living when lives are at stake.

I decided to take a look at DoD Joint Publications and found Joint Tactics, Techniques, and Procedures for Base Defense. Just skimming it I found several very interesting sections. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executive summary includes this:

The general characteristics of defensive operations are:

  1. to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy;

  2. see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlefield;

  3. use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders’ advantages;

  4. concentrate at critical times and places;

  5. conduct counterreconnaissance and counterattacks;

  6. coordinate critical defense assets;

  7. balance base security with political and legal constraints;

  8. and know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law of war and rules of engagement.


I think digital non-military, non-police forces can do all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counterattack portion of number 5. For that we need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and police to act, or to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m deputize us. Notice numbers 1 and 2 imply monitoring, and number 4 implies being able to recognize critical times and places via digital situational awareness.

These items are displayed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following graphic, which expands on number 3:



The document continues:

The primary mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base is to support joint force objectives.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base does not exist to provide security. The base exists to perform "business functions."

Essential actions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense force are to detect, warn, deny, destroy, and delay. Every intelligence and counterintelligence resource available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base commander should be used to determine enemy capabilities and intentions. The base commander must make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terrain within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander’s AO [area of operation].

Again, we cannot destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy, but police and military can.

This final graphic displays some physical perimeter defense measures.



This graphic nicely displays principles like defense in depth. Notice also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion detection" system (labeled "sensor") and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "network forensics" system (labeled "video camera"). Visibility is provided by lighting. If you're a Jericho Forum fan, imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se defenses collapsed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host or even data.

I plan to take a closer look at this document and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force version, AFI 31-301, Air Base Defense.

Tuesday, August 28, 2007

DoD Digital Security Spending


I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Is IT security getting short shrift? to be a good reference for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r large organizations contemplating digital security spending. In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart above, this text is illuminating:

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing number of attacks on military networks, securing enough money for information assurance programs is still a hard sell at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department, former Pentagon officials say.

“It’s been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of enormous frustration,” Linton Wells said in a recent interview in which he recounted some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficulties he faced during his four-year tenure as principal deputy assistant secretary of Defense for networks and information integration...

[C]onvincing senior budget officials from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military services to spend money in that area is a continuing challenge, Wells said.

“What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say is, ‘Look, we’re all short on money for things we want to buy — ships, planes, tanks, whatever. Show me how this $2 million you want to put on this today is going to turn cell C17 from red to yellow to green in 2011,’” Wells said. “And that’s often a hard thing to do in information assurance.”

Wells said officials in charge of putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information technology security budget for DOD’s networks need better metrics for measuring return on investment for information assurance programs.

“We have not done a good job of making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case that a dollar spent here is going to lead to a quantifiable increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re,” he said.
(emphasis added)

I saw Dr. Wells speak at Black Hat Federal 2006.

I have three brief points.

First, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bold text is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. If I'm being asked to spend money to turn a spreadsheet cell different colors, of course I'm going to debate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of that spending. The problem is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 metrics used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se situations largely don't matter.

Second, I would be interested in knowing how much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD budget funds counter-intelligence activities. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serious problems DoD faces have a counter-intelligence function. The intent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's activities are no different now than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were in pre-Internet days. How much has historically been spent on stopping spies?

Third, it is sad to continue to see security treated as a separate function that has to justify its own existence in financial terms. Security does not make any money so it cannot possibly compete against business projects which do. This is not strictly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case in DoD because none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military makes money, but it is certainly true of civilian industries.

Tuesday, November 07, 2006

Who Needs CISSP for Ethics?

Last year I discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP with respect to its code of ethics. Today while renewing my ISSA membership, I was presented with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The primary goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Systems Security Association, Inc. (ISSA) is to promote practices that will ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality, integrity, and availability of organizational information resources. To achieve this goal, members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Association must reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest standards of ethical conduct. Therefore, ISSA has established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Code of Ethics and requires its observance as a prerequisite for continued membership and affiliation with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Association.

As an applicant for membership and as a member of ISSA, I have in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past and will in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future:

* Perform all professional activities and duties in accordance with all applicable laws and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest ethical principles;
* Promote generally accepted information security current best practices and standards;
* Maintain appropriate confidentiality of proprietary or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise sensitive information encountered in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of professional activities;
* Discharge professional responsibilities with diligence and honesty;
* Refrain from any activities which might constitute a conflict of interest or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise damage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reputation of employers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security profession, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Association; and
* Not intentionally injure or impugn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professional reputation of practice of colleagues, clients, or employers.

Please check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box indicating you have read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above statement and agree to its principles:


It looks to me like ISSA has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethics bases covered. If I agree to that statement, I get as much value as being a CISSP as far as ethics goes.

Unfortunately, misdirected efforts like DoD 8570.1 attach significance to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP out of all proportion to its worth.

Thursday, November 02, 2006

Air Force Cyberspace Command

According to Air Force Link, 8th Air Force will become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Air Force Cyberspace Command. This appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of a Air Force Network Operations Command structure in August. That came on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Information Warfare Center being redesignated as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Information Operations Center. That was a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Tactical Fighter Weapons Center being redesignated as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Warfare Center. In a related move, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former 67th Information Operations Wing is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 67th Network Warfare Wing. Follow all that?

It also appears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is centralizing control of network operations and security centers, according to this article:

All Air Force network operations security centers, which were previously decentralized among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major commands, will consolidate under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 67th with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stand-up of two integrated network operations and security centers, or I-NOSCs, located at Langley AFB, Va., and at Peterson AFB, Colo.

Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former AFCERT, now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Network Operations and Security Center Network Security Division (AFNOSC NSD) in San Antonio, TX, is adding 191 MacAulay-Brown contractors.

For some higher level insights into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version of AFI 33-115v1: Network Operations (.pdf) might be interesting.

Returning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Cyberspace Command -- remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force was once part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Army. I see no reason why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States should maintain independent services that fight on land, sea, air, and space, but have cyber forces scattered throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r services. (You might make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-argument that each service maintains its own "air forces," but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir parent service.)

I think within my lifetime we will see an independent Cyber Force to centralize information warfare capabilities alongside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army, Navy, Air Force, and Marines. If it happens within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 years, I think Col Greg Rattray might be in charge. (Yes, I'm assuming he continues to be promoted!) Before that happens, I'd like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Cyberspace Command sponsor a new Air Force Specialty Code (AFSC) for information warriors. The current Intel or Comm paradigm isn't suitable.

Saturday, October 07, 2006

Thoughts from IATF Meeting

I try to attend meetings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Assurance Technical Forum once a year. I last visited in 2003 and 2005. The following are some thoughts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting I attended two weeks ago. They are not an attempt to authoritatively summarize or describe years of net-centric thought and work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Department of Defense. These are just a few thoughts based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations I saw in an unclassified environment.



Prior to seeing this diagram I had heard a lot about "net-centric warfare" but I had no real grasp of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying. It seemed more of a buzzword. Now I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of getting information from any source to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who need it, instead of, say Air Force sensors sending data to Air Force decision-makers who feed Air Force assets.



Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net-centric model, DoD needs to move away from a "System High" model of security to a "Transactional" model. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System High world, you essentially define a perimeter by classification (e.g., "Secret"), build a network for that classification (e.g., SIPRNET), and let anyone with a Secret clearance see anything on SIPRNET. This is procedure-based security at its best (actually, it's worst).



This figure shows how DoD wants to transition from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing model to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new model. It's moving away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current "baseline" in "increments," starting with Increment 1. Completion of Increment 1 is expected with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next five-year DoD plan, lasting 2008-2013 (!).

DoD's experience with coalition warfare in Iraq and Afghanistan is driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes. One example involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to establish a separate network for every coalition partner. In one so-called "coalition village," DoD had to build 14 separate networks (US-UK, US-Poland, US-Italy, etc.). This is obviously costly and time-consuming. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new model, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se coalition partners will share one network but have access regulated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transactional security model. Virtualization and Digital Rights Management are going to be key for implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ideas.



This figure explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise Sensor Grid, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that DoD is moving away from a strictly perimeter-based monitoring model to one that reaches all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to end hosts.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefers offered a set of metrics that I found interesting.

  • % of Red Team simulated attacks that are successful

  • % of remote access to DoD information systems and DoD access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet regulated by positive technical controls such as proxy services and screened subnets
    (DMZs)

  • % of DoD systems and applications that conform to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Ports, Protocols, and Service Policy

  • % of standardized and approved IA and IA enabled COTS products available to protect DoD sensitive and classified data (vs. GOTS)

  • % of NIPRNet Traffic that is encrypted


I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first metric to be especially interesting because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD uses it to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are missing. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, DoD (wisely) understands that it doesn't detect all attacks. They use Red Team exercises to estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't detect. This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of metric I believe to be useful. DoD also measures (and wants to vastly decrease) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time needed to detect and respond to intrusions. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir metrics on Red Team exercises.

I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference with a few concerns. First, I heard an emphasis on "pushing systems to DMZs." The idea is to remove systems accessible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public or coalition partners out of internal networks and into DMZs. While I agree that security zones are important, I wondering if DoD is fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last war again. Server-side attacks were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 predominant model of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, bleeding somewhat into this decade. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last three or four years, however, client-side attacks have been all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rage. DoD is moving to persistent and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pervasive monitoring (which includes end hosts), but I hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't ignore client-side vulnerabilities. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise of Web Services might reinvigorate DMZ-focused security.

After hearing one briefer joke about not understanding so-called "honey" technologies (honeypots, etc.) I worried that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se decision-makers don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks facing DoD networks. They of course understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, because those groups change but not as quickly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and techniques cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y employ. Keeping up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities and ways to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is extremely challenging, and does not map at all to five-year plans.

A second problem involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "black core." This is an encrypted network which will eventually dominant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD enterprise security model. This is similar to Microsoft's reported internal use of IPSec everywhere.

The black core emphasizes confidentiality, and to a certain degree integrity. It seems to sacrifice visibility. An IATF attendee made this point in a question. If just about everything is encrypted, what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of network-based monitoring? One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers replied that flow-based monitoring (i.e., analyzing session data) will still be helpful, but sessions only take you so far. I wonder if DoD might implement some "visibility taps" that decrypt-inspect-encrypt at various points in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black core?

Speaking of encryption, crypto appeared to be a major factor in DoD plans. This isn't surprising, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IATF's sponsor. Still, most security incidents don't happen because of failed crypto. Intrusions are often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of improper configuration and operation. I didn't hear much about addressing those problems, yet I heard that DoD is cutting IA personnel and funding!

Third, IPv6 wasn't formally mentioned in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations. An attendee had to ask about it specifically. An audience member from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary of Defense said IPv6 would work with DoD's plans, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience was skeptical.

Finally, DoD is relying heavily on vendors to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equipment and technology needed to implement its vision. Ideas of "protecting data in transit" (PDIT) and "protecting data at rest" (PDAR) are great concepts, but implementation questions remain. DoD also seemed not interested in data stored outside of its own systems. An attendee questioned how DoD is going to handle that concern, but it appears to have been largely ignored. This is a growing issue as we approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this decade, and I predict it will be a major issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next decade.

Incidentally, while driving to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IATF meeting I listened to a story on NPR about Boeing's plans for border security. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positive problems caused by tumbleweed! Maybe I should consider investigating cross-discipline intrusion detection problems (i.e., digital, financial, homeland security, and so on)?

References

Monday, May 29, 2006

DoD Certification Program Update

I've had a chance to read issues of Federal Computer Weekly delivered while I was on vacation. I like reading FCW because it gives me some insight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 madness found inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Beltway.

I enjoyed reading Wanted: Information assurance-savvy people, which discussed DoD's plans for certifying IT staff. I've examined this issue before. Here's a quote by someone who understands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with DoD's plan:

Alan Paller, director of research at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute, said DOD should have no problem meeting its initial target of 80,000-plus employees trained and accredited in information assurance. But he doesn’t think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 baseline certification that DOD requires will produce a workforce capable of securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military’s systems.

“The problem is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bulk of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certifications don’t teach people how to do security,” Paller said. “Certified people will be able to talk about security, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y won’t know how to do it — to actually encrypt data and do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary work.”

Instead, DOD needs a way to evaluate actual information assurance work, Paller said. That requires hand-on training and scenario-based testing, he added.


Alan is absolutely right. A DoD certification program which accepts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top technical certification indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program designers are absolutely clueless.

Speaking of clueless:

Robert Lentz, DOD’s director of information assurance, said he respects Paller’s opinion but is not worried that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is headed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong direction. The important thing is to get baseline certifications awarded and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n work from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, Lentz said.

Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported depicted Mr. Lentz's words accurately, I am extremely disappointed by this opinion. This attitude sounds to me like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: "Who cares if our program is wrong? Let's just get it started." That is a recipe for failure, especially considering this quote from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

DOD’s success with IA training and certification could have wider implications, said Jim Flyzik, president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Flyzik Group, a consulting firm. If successful, DOD’s approach would probably be adopted in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas of government, he said.

Great. DoD starts down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong path, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government follows? Ouch.

Thursday, November 17, 2005

FCW Reports DoD to Hold Security Stand-Down

I read that DoD plans to hold a security stand-down on 29 November "to focus on information assurance and network security." Apparently United States Strategic Command, one of nine Unified Commands, issued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order. The news came from Air Force Lt. Gen. Charlie Croom, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Information Systems Agency and commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Task Force - Global Network Operations (JTF-GNO).

FCW says "some DOD officials are concerned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of hardware and software manufactured overseas and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might incorporate malicious code. [Croom] said one way to fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is to require companies to assure DOD that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products are safe and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m closely." (emphasis added)

I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact Lt Gen Croom understands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of monitoring.

A separate article conveys this story, indicating Lt Gen Croom is a fair guy:

"The first time Croom showed up for a meeting at DISA, someone announced his presence and everyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room snapped to attention, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did with previous DISA commanders, a headquarters employee said.

Croom told everyone at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting that that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first and last time anyone was to announce him and have everyone stand at attention."

That's amazing. I have seen commanders institute similar policies on operations floors, but generally you're expected to stand when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander enters a meeting room.

The FCW article did not say much about what constitutes a network "stand-down," ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "changing passwords" and "conduct[ing] certain activities to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n and become more aware of network security." Can anyone elaborate on this? A department-wide password change sounds like an immense incident response action. I believe we instituted a similar action once when I was still in uniform.

Typically stand-downs are held in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flying community when an aircraft crashes due to a mechanical problem. The rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community wants to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir aircraft are not also afflicted. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Titan Rain intrusions may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crash" that prompted this stand-down. FCW reports "Croom said DOD networks are being intruded on. 'The enemy is among us,' he said."