Showing posts with label favorites. Show all posts
Showing posts with label favorites. Show all posts

Tuesday, January 29, 2008

TSA Lessons for Security Analysts

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past I've run several security teams, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force CERT's detection crew and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP division of a publicly traded company. In those positions I was always interested in assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance of my security analysts. The CNN article TSA tester slips mock bomb past airport security contains several lessons which apply to this domain.

Jason, a covert tester for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Transportation Security Administration, has been probing airport weaknesses for five years, beginning with big mock bombs before switching to ever smaller devices as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA adapts to evolving terrorist threats...

Even before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 September 11, 2001, terror attacks, government agencies deployed "red teams" such as this one to look for holes in airport security...

But instead of running from tests, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency has embraced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that testing has a value that goes beyond measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance of individual screeners.

Tests, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA says, can show systemwide security vulnerabilities...

[S]creeners who fail to detect contraband are "pulled off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line" and retrained before being allowed back.

The test CNN witnessed was conducted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA's Office of Inspection, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sophisticated of its covert tests. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

For starters, every TSA X-ray machine has a Threat Image Projection system, which digitally inserts images of guns, knives and bombs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X-rays of luggage, to keep screeners alert...

If screeners observe a suspicious object, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can check with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple click of a computer mouse. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect a threat object, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer congratulates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Successes and failures are recorded for use in a screener's performance evaluation and are factors in determining pay.

Some 69,929 threat image tests are conducted on an average day, or more than 25 million tests per year. An array of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tests also are conducted to assess screeners, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team ones.


I've described elsewhere why I support red teams. I certainly recognize that one of my Three Wise Men savages red teams, but I've never seen anything else -- short of an actual incident -- make a dent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitudes of management. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, red teaming, as a real-life test, tends to discover and link vulnerabilities in ways not anticipated by some vulnerability assessors (blue teams) and general security architects. There's no ground truth like saying "I accomplished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission using this method" when someone is claiming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network is "secure."

I also like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method to test analysts by inserting false images. Fighting analyst boredom is a big problem in some operational teams.

Saturday, January 26, 2008

Corporate Digital Responsibility

I've started listening to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist Audio Edition on my iPod while running. Last week I listened to a special report on Corporate Social Responsibility. I was struck by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 language used and issues discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. Here are a few excepts.

First, from Just good business:

Why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boom [in CSR initiatives]? For a number of reasons, companies are having to work harder to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reputation — and, by extension, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do business...

CSR is now made up of three broad layers, one on top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. The most basic is traditional corporate philanthropy... [T]he second layer of CSR... is a branch of risk management... So, often belatedly, companies respond by trying to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks. They talk to NGOs and to governments, create codes of conduct and commit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves to more transparency in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir operations. Increasingly, too, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same industry in an effort to set common rules, spread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk and shape opinion.

All this is largely defensive, but companies like to stress that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also opportunities to be had for those that get ahead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game. The emphasis on opportunity is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third and trendiest layer of CSR: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that it can help to create value...

That is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of thing chief executives like to hear... Businesses have eagerly adopted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jargon of “embedding” CSR in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir operations, making it “part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate DNA” so that it influences decisions across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.

With a few interesting exceptions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rhetoric falls well short of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality.


Next, from The next question: Does CSR work?:

Three years ago a special report in The Economist acknowledged, with regret, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSR movement had won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle of ideas. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist Intelligence Unit for this report, only 4% of respondents thought that CSR was “a waste of time and money”. Clearly CSR has arrived...

[In one sense], cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best form of corporate responsibility boils down to enlightened self-interest. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more that firms embracing it are seen to be successful — through astutely managing risks and recognising opportunities — cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more enlightened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir leaders will be perceived to be. But do such policies really help to bring success? If not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole CSR industry has a problem. If people are no longer asking “whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r” but “how”, in future cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will increasingly want to know “how well”. Is CSR adding value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business?

At present few companies would be able to tell. CSR decisions rely more on instinct than on evidence. But a measurement industry of sorts is springing up. Many big firms now publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own sustainability reports, full of targets and commitments. The Global Reporting Initiative, based in Amsterdam, aspires to provide an international standard, with 79 indicators that it encourages companies to use. This may be a useful starting point, but critics say it often amounts to little more than box-ticking; worse, it can provide a cover for poor performers...


From A stich in time: How companies manage risks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reputation:

Business leaders embrace corporate responsibility for a number of reasons... For some, though, it is public embarrassment and lawsuits that concentrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind... Trouble seems to come in waves, pounding industry after industry, each time for a different reason... Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rhetoric on CSR may be about doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right thing and trumping competitors, but much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality is plain risk management. It involves limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line that can be inflicted by a bad press and consumer boycotts, as well as dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat of legal action...

Time and again companies fail to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems coming. Only once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have had to deal with, say, a lawsuit or strong public pressure do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y start to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking...

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment, though, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest problem many companies have to deal with is something that has sprung from rapid globalisation. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks associated with managing supply chains that spread around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, stretching deep into China, India and elsewhere...

Firms can set standards of behaviour for suppliers, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not find it easy to enforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m... So inspection regimes are set to intensify, at a time when audit fatigue has already become a problem for suppliers...

Each industry has its own specific issues, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes in how firms are approaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk-management side of CSR. One is to put in place proper systems for monitoring risk across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply chain, including listing who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suppliers are, having well-established channels of communicating with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and auditing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir compliance with ethics codes. Basic as it sounds, even many big companies fail to do this...

Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics, prudent companies include a CSR perspective when considering new projects...

Novo Nordisk, a Danish company that supplies a big share of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's insulin, has written cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “triple bottom line” — that is, striving to act in a financially, environmentally and socially responsible way — into its articles of association...


Finally, from Do it right:

One way of looking at CSR is that it is part of what businesses need to do to keep up with (or, if possible, stay slightly ahead of) society's fast-changing expectations. It is an aspect of taking care of a company's reputation, managing its risks and gaining a competitive edge. This is what good managers ought to do anyway. Doing it well may simply involve a clearer focus and greater effort than in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, because information now spreads much more quickly and companies feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heat...

If it is nothing more than good business practice, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any point in singling out corporate social responsibility as something distinctive? Strangely, perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is, at least for now. If it helps businesses look outwards more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise would and to think imaginatively about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks and opportunities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y face, it is probably worth doing. This is why some financial analysts think that looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of a company's CSR policy may be a useful pointer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of its management more generally...

[I]n a growing number of companies CSR goes deeper than that and comes closer to being “embedded” in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business, influencing decisions on everything from sourcing to strategy. These may also be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 places where talented people will most want to work.

The more this happens, ironically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days of CSR may start to seem numbered. In time it will simply be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way business is done in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21st century. “My job is to design myself out of a job,” says one company's head of corporate responsibility...


Is it obvious by now that you could replace CSR in all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cases with "digital security"? Is it now time for a "quadruple bottom line" -- "striving to act in a financially, environmentally, socially, and digitally responsible way?

We in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security field need to talk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se CSR people and figure out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are making progress. We share almost exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same goals but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are winning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle of ideas. In digital security, too many companies "fail to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems coming. Only once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have had to deal with, say, a lawsuit or strong public pressure do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y start to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking."

Note: Prior to this blog post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only mention of "corporate digital responsibility" I could find via Google is a SEC filing for Bank Bradesco.

Thursday, January 10, 2008

Defensible Network Architecture 2.0

Four years ago when I wrote The Tao of Network Security Monitoring I introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term defensible network architecture. I expanded on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept in my second book, Extrusion Detection. When I first presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea, I said that a defensible network is an information architecture that is monitored, controlled, minimized, and current. In my opinion, a defensible network architecture gives you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best chance to resist intrusion, since perfect intrusion prevention is impossible.

I'd like to expand on that idea with Defensible Network Architecture 2.0. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes would be suitable for a strategic, multi-year program at any organization that commits itself to better security. You may notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contrast with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Self-Defeating Network and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 similarities to my Security Operations Fundamentals. I roughly order cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements in a series from least likely to encounter resistance from stakeholders to most likely to encounter resistance from stakeholders.

A Defensible Network Architecture is an information architecture that is:

  1. Monitored. The easiest and cheapest way to begin developing DNA on an existing enterprise is to deploy Network Security Monitoring sensors capturing session data (at an absolute minimum), full content data (if you can get it), and statistical data. If you can access ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data sources, like firewall/router/IPS/DNS/proxy/whatever logs, begin working that angle too. Save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tougher data types (those that require reconfiguring assets and buying mammoth databases) until much later. This needs to be a quick win with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of a small, centralized group. You should always start by monitoring first, as Bruce Schneier proclaimed so well in 2001.

  2. Inventoried. This means knowing what you host on your network. If you've started monitoring you can acquire a lot of this information passively. This is new to DNA 2.0 because I assumed it would be already done previously. Fat chance!

  3. Controlled. Now that you know how your network is operating and what is on it, you can start implementing network-based controls. Take this anyway you wish -- ingress filtering, egress filtering, network admission control, network access control, proxy connections, and so on. The idea is you transition from an "anything goes" network to one where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity is authorized in advance, if possible. This step marks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time where stakeholders might start complaining.

  4. Claimed. Now you are really going to reach out and touch a stakeholder. Claimed means identifying asset owners and developing policies, procedures, and plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation of that asset. Feel free to swap this item with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous. In my experience it is usually easier to start introducing control before making people take ownership of systems. This step is a prerequisite for performing incident response. We can detect intrusions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step. We can only work with an asset owner to respond when we know who owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and how we can contain and recover it.

  5. Minimized. This step is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to directly impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration and posture of assets. Here we work with stakeholders to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack surface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network devices. You can apply this idea to clients, servers, applications, network links, and so on. By reducing attack surface area you improve your ability to perform all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r steps, but you can't really implement minimization until you know who owns what.

  6. Assessed. This is a vulnerability assessment process to identify weaknesses in assets. You could easily place this step before minimization. Some might argue that it pays to begin with an assessment, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first question is going to be: "What do we assess?" I think it might be easier to start disabling unnecessary services first, but you may not know what's running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machines without assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Also consider performing an adversary simulation to test your overall security operations. Assessment is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 step where you decide if what you've done so far is making any difference.

  7. Current. Current means keeping your assets configured and patched such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can resist known attacks by addressing known vulnerabilities. It's easy to disable functionality no one needs. However, upgrades can sometimes break applications. That's why this step is last. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final piece in DNA 2.0.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's DNA 2.0 -- MICCMAC (pronounced "mick-mack"). You may notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government is adopting parts of this approach, as mentioned in my post Feds Plan to Reduce, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Monitor. I prefer to at least get some monitoring going first, since even incomplete instrumentation tells you what is happening. Minimization based on opinion instead of fact is likely to be ugly.

Did I miss anything?

Monday, January 07, 2008

Sussy McBride Shouts: I got hacked

Thanks to Sensepost for reporting this story last month. They describe an advisory published by Charles Miller and Dino Dai Zovi whereby arbitrary characters in Second Life are digitally mindjacked and robbed. By walking on "land" owned by an attacker, and having Second Life configured to automatically display video, a victim's avatar and computer can be exploited via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 November 2007 Quicktime vulnerability. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 YouTube video you can see "Sussy McBride" be freeze, shout "I got hacked," and give her money to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker.

I am fascinated by this story because it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 natural progression from a 2006 post Security, A Human Problem describing a Second Life denial of service attack. In that post I said:

First, it demonstrates that client-side attacks remain a human problem and less of a technical problem. Second, I expect at some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se virtual worlds will need security consultants, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world. I wonder if someone could write a countermeasure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual player level for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of attacks?

I wonder if anyone in Second Life will start creating disposable bodyguard avatars to walk in front of highly-valued avatars, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby acting as "digital mine detectors?"

Tuesday, December 18, 2007

Does Failure Sell?

I often find myself in situations trying to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Network Security Monitoring (NSM). This very short fictional conversation explains what I mean. This exchange did not happen but I like to contemplate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of dialogues.

NSM Advocate: I recommend deploying network-based sensors to collect data using NSM principles. I will work with our internal business units to select network gateways most likely to yield significant traffic. I will build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensors using open source software on commodity hardware, recycled from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r projects if need be.

Manager: Why do we need this?

NSM Advocate: Do you believe all of your defensive measures are 100% effective?

Manager: No. (This indicates a smart manager. Answering Yes would result in a line of reasoning on why Prevention Eventually Fails.)

NSM Advocate: Do you want to know when your defensive measures fail?

Manager: Yes. (This also indicates a smart manager. Answering No would result in a line of reasoning on why ignorance is not bliss.)

NSM Advocate: NSM will tell us when we fail. NSM sensors are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest impact, least cost way to obtain network situational awareness. NSM methodologies can guide and validate preventative measures, transform detection into an actionable process, and enable rapid, low-cost response.

Manager: Why can't I buy this?

NSM Advocate: Some mainstream vendors are realizing a market exists for this sort of data, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are making some impact with new products. If we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 budget I might propose acquiring a commercial solution. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment I recommend pursuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 do-it-yourself approach, with transition to a commercial solution if funding and product capabilities materialize.

Manager: Go forth and let your sensors multiply.


Now you know that it's fiction.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crux of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument is here: Do you believe all of your defensive measures are 100% effective? As a statement, one would say Because prevention eventually fails, you should have a means to identify intrusions and expedite remediation. A manager hearing that statement is likely to respond like this.

Manager: Do you mean to tell me that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money I've spent on firewalls, intrusion prevention systems, anti-virus, network access control, etc., is wasted?

NSM Advocate: That money is not wasted. It's narrowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem space, but it hasn't eliminated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

This is a tough argument to accept. When I worked at Foundstone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company sold a vulnerability management product. Foundstone would say "buy our product and you will be secure!" I worked for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response team. We would say "...and when you still get owned, call us." Which aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business do you think made more money, got more attention, and received more company support? That's an easy question. How is a salesperson supposed to look a prospect in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eye and say "You're going to lose. What are you going to do about it?"

Many businesses are waking up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've spent millions of dollars on preventative measures and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still lose. No one likes to be a loser. The fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is that winning cannot be defined as zero intrusions. Risk mitigation does not mean risk elimination. Winning has to be defined using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words I used to explain risk in my first book:

Security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of maintaining an acceptable level of perceived risk.

This definition does not eliminate intrusions from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. It does leave an uncomfortable amount of interpretation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "acceptable level" aspect. You may have noticed that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 managers one might consider successful are usually self-described or outwardly praised as being risk-takers. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation we have security professionals, most of whom I would label as risk-avoiders.

The source escapes me now, but a recent security magazine article observed that those closest to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands-on aspects of security rated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir companies as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least secure. Assessments of company security improved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 farcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one was removed from day-to-day operations, such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO and above was much more positive about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's security outlook. The major factor in this equation is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 separation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corner office and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cubicle, but anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acceptable level of risk for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties involved. When a CIO or CEO is juggling market risk, credit risk, geo-political risk, legal risk, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r worries, digital risk is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r item in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portfolio.

The difference between digital risk and many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r risk types is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences can be tough to identify. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more serious cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least likely you could be to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion.

How is that possible? What causes more damage: a DDoS attack that everyone notices because "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is slow," or a stealthy economic competitor whose entire reason in life is to avoid detection while stealing data?

Without evidence to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question are you secure?, managers practice management and defense by belief instead of management and defense by fact.

Wednesday, December 12, 2007

Incident Severity Ratings

Much of digital security focuses on pre-compromise activities. Not as much attention is paid to what happens once your defenses fail. My friend Bamm brought this problem to my attention when he discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem of rating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of an incident. He was having trouble explaining to his management cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of an intrusion, so he asked if I had given any thought to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue.

What follows is my attempt to apply a framework to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. If anyone wants to point me to existing work, please feel free. This is not an attempt to put a flag in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground. We're trying to figure out how to talk about post-compromise activities in a world where scoring vulnerabilities receives far more attention.

This is a list of factors which influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of an incident. It is written mainly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion standpoint. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, an unauthorized party is somehow interacting with your asset. I have ordered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options under each category such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top items in each sub-list is considered worst, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom is best. Since this is a work in progress I put question marks in many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sub-lists.

  1. Level of Control


    • Domain or network-wide SYSTEM/Administrator/root

    • Local SYSTEM/Administrator/root

    • Privileged user (but not SYSTEM/Administrator/root

    • User

    • None?


  2. Level of Interaction


    • Shell

    • API

    • Application commands

    • None?


  3. Nature of Contact


    • Persistent and continuous

    • On-demand

    • Re-exploitation required

    • Misconfiguration required

    • None?


  4. Reach of Victim


    • Entire enterprise

    • Specific zones

    • Local segment only

    • Host only


  5. Nature of Victim Data


    • Exceptionally grave damage if destroyed/altered/disclosed

    • Grave damage if destroyed/altered/disclosed

    • Some damage if destroyed/altered/disclosed

    • No damage if destroyed/altered/disclosed


  6. Degree of Friendly External Control of Victim


    • None; host has free Internet access inbound and outbound

    • Some external control of access

    • Comprehensive external control of access


  7. Host Vulnerability (for purposes of future re-exploitation


    • Numerous severe vulnerabilities

    • Moderate vulnerability

    • Little to no vulnerability


  8. Friendly Visibility of Victim


    • No monitoring of network traffic or host logs

    • Only network or host logging (not both)

    • Comprehensive network and host visibility


  9. Threat Assessment


    • Highly skilled and motivated, or structured threat

    • Moderately skilled and motivated, or semi-structured threat

    • Low skilled and motivated, or unstructured threat


  10. Business Impact (from continuity of operations plan)


    • High

    • Medium

    • Low


  11. Onsite Support


    • None

    • First level technical support present

    • Skilled operator onsite



Based on this framework, I would be most worried about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following -- stated very bluntly so you see all eleven categories: I worry about an incident where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder has SYSTEM control, with a shell, that is persistent, on a host that can reach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire enterprise, on a host with very valuable data, with unfettered Internet access, on a host with lots of serious holes, and I can't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host's logs or traffic, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is a foreign intel service, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host is a high biz impact system, and no one is on site to help me.

What do you think?

Monday, November 26, 2007

Controls Are Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solution to Our Problem

If you recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inspiration for this post title and graphic, you'll understand my ultimate goal. If not, let me start by saying this post is an expansion of ideas presented in a previous post with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 succinct and catchy title Control-Compliant vs Field-Assessed Security.

In brief, too many organizations, regulators, and government agencies waste precious time and resources devising and auditing "controls," regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls have or do not have on security. They are far too input-centric; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should become more output-aware. They obsess over recording conditions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believe may be helpful while remaining ignorant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game." They practice management by belief and disregard management by fact.

Let me provide a few examples from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 canonical texts used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control-compliant crowd: NIST Special Publication 800-53: Recommended Security Controls for Federal Information Systems (.pdf). The following is an example of a control, taken from page 140.

SI-3 MALICIOUS CODE PROTECTION


The information system implements malicious code protection.

Control: Supplemental Guidance: The organization employs malicious code protection mechanisms at critical information system entry and exit points (e.g., firewalls, electronic mail servers, web servers, proxy servers, remote-access servers) and at workstations, servers, or mobile computing devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. The organization uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code protection mechanisms to detect and eradicate malicious code (e.g., viruses, worms, Trojan horses, spyware) transported: (i) by electronic mail, electronic mail attachments, Internet accesses, removable media (e.g., USB devices, diskettes or compact disks), or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r common means; or (ii) by exploiting information system vulnerabilities. The organization updates malicious code protection mechanisms (including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest virus definitions) whenever new releases are available in accordance with organizational configuration management policy and procedures. The organization considers using malicious code protection software products from multiple vendors (e.g., using one vendor for boundary devices and servers and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor for workstations). The organization also considers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receipt of false positives during malicious code detection and eradication and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting potential impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system. NIST Special Publication 800-83 provides guidance on implementing malicious code protection.

Control Enhancements:
(1) The organization centrally manages malicious code protection mechanisms.
(2) The information system automatically updates malicious code protection mechanisms.


At first read one might reasonably respond by saying "What's wrong with that? This control advocates implementing anti-virus and related anti-malware software." Think more clearly about this issue and several problems appear.

  • Adding anti-virus products can introduce additional vulnerabilities to systems which might not have exposed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves without running anti-virus. Consider my post Example of Security Product Introducing Vulnerabilities if you need examples. In short, add anti-virus, be compromised.

  • Achieving compliance may cost more than potential damage. How many times have you heard a Unix administrator complain that he/she has to purchase an anti-virus product for his/her Unix server simply to be compliant with a control like this? The potential for a Unix server (not Mac OS X) to be damaged by a user opening an email through a client while logged on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server (a very popular exploitation vector on a Windows XP box) is practically nil.

  • Does this actually work? This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question that no one asks. Does it really matter if your system is running anti-virus software? Did you know that intruders (especially high-end ones most likely to selectively, steathily target cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very .gov and .mil systems required to be compliant with this control) test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir malware against a battery of anti-virus products to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code wins? Are weekly updates superior to daily updates? Daily to hourly?


The purpose of this post is to tentatively propose an alternative approach. I called this "field-assessed" in contrast to "control-compliant." Some people prefer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "results-based." Whatever you call it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea is to direct attention away from inputs and devote more energy to outputs. As far as mandating inputs (like every device must run anti-virus), I say that is a waste of time and resources.

I recommend taking measurements to determine your enterprise "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game," and use that information to decide what you need to do differently. I'm not suggesting abandoning efforts to prevent intrusions (i.e., "inputs.") Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, don't think your security responsibilities end when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottle is broken against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bow of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ship and it slides into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea. You've got to keep watching to see if it sinks, if pirates attack, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifeboats handle rough seas, and so forth.

These are a few ideas.

  1. Standard client build client-side survival test. Create multiple sacrificial systems with your standard build. Deploy a client-side testing solution on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, like a honeyclient. (See The Sting for a recent story.) Vary your defensive posture. Measure how long it takes for your standard build to be compromised by in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-wild Web sites, spam, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world.

  2. Standard client build server-side survival test. Create multiple sacrificial systems with your standard build. Deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a honeynet. Vary your defensive posture. Measure how long it takes for your standard build to be compromised by malicious external traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world -- or better yet -- from your internal network.

  3. Standard client build client-side penetration test. Create multiple sacrificial systems with your standard build. Conduct my recommendation penetration testing activities and time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result.

  4. Standard client build server-side penetration test. Repeat number 3 with a server-side flavor.

  5. Standard server build server-side penetration test. Repeat number 3 against your server build with a server-side flavor. I hope you don't have users operating servers as if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were clients (i.e., browsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web, reading email, and so forth.) If you do, repeat this step and do a client-side pen test too.

  6. Deploy low-interactive honeynets and sinkhole routers in your internal network. These low-interaction systems provide a means to get some indications of what might be happening inside your network. If you think deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external network might reveal indications of targeted attacks, try that. (I doubt it will be that useful due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall attack noise, but who knows?)

  7. Conduct automated, sampled client host integrity assessments. Select a statistically valid subset of your clients and check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m using multiple automated tools (malware/rootkit/etc. checkers) for indications of compromise.

  8. Conduct automated, sampled server host integrity assessments. Self-explanatory.

  9. Conduct manual, sampled client host integrity assessments. These are deep-dives of individual systems. You can think of it as an incident response where you have not had indication of an incident yet. Remote IR tools can be helpful here. If you are really hard-core and you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, resources, and cooperation, do offline analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive.

  10. Conduct manual, sampled server host integrity assessments. Self-explanatory.

  11. Conduct automated, sampled network host activity assessments. I questioned adding this step here, since you should probably always be doing this. Sometimes it can be difficult to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results, however automated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data collection. The idea is to let your NSM system see if any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic it sees is out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ordinary based on algorithms you provide.

  12. Conduct manual, sampled network host activity assessments. This method is more likely to produce results. Here a skilled analyst performs deep individual analysis of traffic on a sample of machines (client and server, separately) to see if any indications of compromise appear.


In all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cases, trend your measurements over time to see if you see improvements when you alter an input. I know some of you might complain that you can't expect to have consistent output when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat landscape is constantly changing. I really don't care, and neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r does your CEO or manager!

I offer two recommendations:

  • Remember Andy Jaquith's criteria for good metrics, simplified here.


    1. Measure consistently.

    2. Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cheap to measure. (Sorry Andy, my manual tests violate this!)

    3. Use compound metrics.

    4. Be actionable.


  • Don't slip into thinking of inputs. Don't measure how many hosts are running anti-virus. We want to measure outputs. We are not proposing new controls.


Controls are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to our problem. Controls are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. They divert too much time, resources, and attention from endeavors which do make a difference. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indications I am receiving from readers and friends are true, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas in this post are gaining traction. Do you have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ideas?

Wednesday, November 21, 2007

Tap vs Lightning Strike

Earlier this year my lab suffered a near lightning strike. A tree right outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab was struck by lightning, causing damage to multiple electronic and electrical devices outside and inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building.

Outside, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lightning disabled an exterior lighting system and my phone lines. Inside, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lightning took a severe toll on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab. The cable modem to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world was destroyed. The NIC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab firewall facing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cable modem was fried, along with a second NIC in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall. The NIC on a sensor watching a tap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cable modem and firewall was also destroyed. So far, this is a grim story.

I have one good piece of news to report, and it involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap I mentioned sitting between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cable modem and firewall. The tap survived cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lightning strike. More precisely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap continued to pass traffic even when its monitoring interface was damaged.

Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap been receiving traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modem or firewall, it would have continued to pass it. This truly amazed me. Frequently monitoring practitioners worry that inserting a tap in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network architecture will introduce a single point of failure. In my experience, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap are more likely to fail. A well-engineered tap will continue to pass traffic -- perhaps even when struck by lightning!

The tap that survived my lab lightning strike was built by Net Optics. Congratulations to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Net Optics engineering and manufacturing teams for building quality hardware.

Monday, November 05, 2007

Deflect Silver Bullets

That's quite an image, isn't it? It's ISS CEO Tom Noonan holding a silver bullet, announcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Proventia IPS product in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 October 2003 issue of ISS' Connect magazine. Raise your hand if you think IPS or anything else ISS has produced is a silver bullet. No takers?

I don't mention this to criticize ISS, specifically. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I'd like to emphasize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of proper frames of reference when considering security.

Maybe this story will help explain my point. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1990s as a cadet at camp USAFA I took at least 14 technical classes, including math, science, and engineering subjects. These core classes are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason every cadet graduates with a BS and not a BA, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of study. Remember, I was a history and political science double major, preparing for a career in Air Force intelligence. One of my fellow history majors asked our astronautical engineering professor why we had to sit through his class. I still remember his answer:

One day you'll meet with a defense contractor trying to sell you a new satellite system. He'll promise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, saying things like "We can park that satellite right over Moscow in geosynchronous orbit to provide you imagery."

When you hear that I want you to ask "How is that possible? What is going to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 satellite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re?"

I want you to know how to think properly about that problem, even though you may have forgotten all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.


(For those of you who forget your astronautical engineering, it's not possible to park a satellite in geosynchronous orbit anywhere except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equator, unless you're taking extreme measures to actively keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device in place beyond what's required for normal station-keeping.)

I find that many of those performing digital security work, most generic IT managers, and nearly all nontechnical managers do not know how to think about security properly. They think it's possible to park a satellite over Moscow, Russia as easily as Quito, Ecuador. They have no conceptual framework for digital security. They are looking for digital security silver bullets even though no analog silver bullet has ever killed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates, petty bandits, organized criminals, foreign intelligence services, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threats who have plagued humanity for hundreds of years.

Sloppy thinking is our greatest vulnerability. Forget about user education; I recommend management education. Deflect silver bullets.

Wednesday, October 31, 2007

A Plea to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Worthies

You may have seen stories like Cybersecurity Experts Collaborate with subtitles like A think tank has tapped several heavyweight security experts to staff a commission that will advise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president. That story continues:

The Center for Strategic and International Studies (CSIS) wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commission to come up with a list of recommendations that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new president who takes office in January 2009 "can pick up and run with right away," said James Lewis, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIS Technology and Public Policy Program. The commission, made up of 32 cybersecurity experts, plans to finish its work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2008. I am fairly confident that nothing of value will come from this group, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one task which could completely reverse my opinion. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than wasting time on recommendations that will probably be ignored, how about taking a step in a direction that will have real impact: security metrics. That's right. Spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first day (or two, if you are a slow reader or can't sit still for long periods) reading Andy Jaquith's book. Next, and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crucial part:

Figure out how to play and score cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game before you pretend to think you can improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score.

What does this mean? Just a few ideas include:

  • Propose definitions for security, risk, threat, vulnerability, inside threat, external threat, and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words we use yet upon which we never agree. Hold hearings and invite real security people (not just digital security people) to express cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir views.

  • Propose some metrics and see how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operations define success. Hold hearings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of that process.

  • Apply metrics to some real organizations and gain a baseline set of numbers. Repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process at determined time intervals. Try to identify correlations and if possible causations. Be anonymous if necessary, but use a real methodology and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-selection applied by CSI/FBI and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.


Do you see where I am going here? At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process we could have a framework for seeing just what is happening. I defy anyone to tell me just how bad or good our digital security situation is right now. Some say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky is falling, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs say we're happy! happy!, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs say we're just as secure as we need to be to continue limping along. It is a proper role for a panel of worthies to help figure out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is played and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score is. It is a waste of time to make recommendations before those basic steps have been taken.

Monday, October 29, 2007

Wake Up Corporate America

I am constantly hammered for downplaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "inside threat" and focusing on external attackers. Several months ago I noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Month of Owned Corporations as an example of enterprises demonstrating security failures exploited by outsiders. Thanks to Bots Rise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise, it appears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat is finally getting more attention:

Who says bots are just for home PCs? Turns out bot infections in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise may be more widespread than originally thought.

Botnet operators traditionally have recruited "soft" targets -- home users with little or no security -- and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumption was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more heavily fortressed enterprise was mostly immune. But incident response teams and security researchers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front lines say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are witnessing significant bot activity in enterprises as well...

Rick Wesson, CEO of Support Intelligence, says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of botnet infection in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise isn't necessarily increasing -- it just hasn't been explored in detail until recently. "What's changing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception. It's been underestimated, underreported, and underanalyzed," Wesson says. "Corporate America is in as bad shape as a user at home."

Wesson says his firm, which does security monitoring, instantly finds dozens of bot-infected client machines in an enterprise customer's network when it starts studying its traffic. "We find dozens of bot-compromised systems off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bat. The longer we stay in [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re], cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more we find."
(emphasis added)

Wake up, corporate America (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world). When you open your eyes you're not going to like what you see, but dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth is better than pretending everything's ok.

Wednesday, October 24, 2007

Are You Secure? Prove It.

Are you secure? Prove it. These five words form cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of my recent thinking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security scene. Let me expand "secure" to mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition I provided in my first book: Security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of maintaining an acceptable level of perceived risk. I defined risk as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of suffering harm or loss. You could expand my five word question into are you operating a process that maintains an acceptable level of perceived risk?

Let's review some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers you might hear to this question. I'll give an opinion regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer as well.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of this exercise let's assume it is possible to answer "yes" to this question. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, we just don't answer "no." We could all make arguments as to why it's impossible to be secure, but does that really mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no acceptable level of perceived risk in which you could operate? I doubt it.

So, are you secure? Prove it.

  1. Yes. Then, crickets (i.e., silence for you non-imaginative folks.) This is completely unacceptable. The failure to provide any kind of proof is security by belief. We want security by fact.

  2. Yes, we have product X, Y, Z, etc. deployed. This is better, but it's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r expression of belief and not fact. The only fact here is that technologies can be abused, subverted, and broken. Technologies can be simultaneously effective against one attack model and completely worthless against anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

  3. Yes, we are compliant with regulation X. Regulatory compliance is usually a check-box paperwork exercise whose controls lag attack models of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day by one to five years, if not more. A compliant enterprise is like feeling an ocean liner is secure because it left dry dock with life boats and jackets. If regulatory compliance is more than a paperwork self-survey, we approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of real of evidence. However, I have not seen any compliance assessments which measure anything of operational relevance.

  4. Yes, we have logs indicating we prevented attacks X, Y, and Z. This is getting close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right answer, but it's still inadequate. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time we have some real evidence (logs) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se will probably not provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole picture. Sure, logs indicate what was stopped, but what about activities that were allowed? Were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all normal, or were some malicious but unrecognized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preventative mechanism?

  5. Yes, we do not have any indications that our systems are acting outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expected usage patterns. Some would call this rationale cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of security. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not this answer is acceptable depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indications. If you have no indications because you are not monitoring anything, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this excuse is hollow. If you have no indications and you comprehensively track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of an asset, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we are making real progress. That leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penultimate answer, which is very close to ideal.

  6. Yes, we do not have any indications that our systems are acting outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expected usage patterns, and we thoroughly collect, analyze, and escalate a variety of network-, host-, and memory-based evidence for signs of violations. This is really close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct answer. The absence of indications of intrusion is only significant if you have some assurance that you've properly instrumented and understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset. You must have trustworthy monitoring systems in order to trust that an asset is "secure." If this is really close, why isn't it correct?

  7. Yes, we do not have any indications that our systems are acting outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expected usage patterns, and we thoroughly collect, analyze, and escalate a variety of network-, host-, and memory-based evidence for signs of violations. We regularly test our detection and response people, processes, and tools against external adversary simulations that match or exceed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties attacking our enterprise (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat). Here you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why number 6 was insufficient. If you assumed that number 6 was ok, you forgot to ensure that your operations were up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task of detecting and responding to intrusions. Periodically you must benchmark your perceived effectiveness against a neutral third party in an operational exercise (a "red team" event). A final assumption inherent in all seven answers is that you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets you are trying to secure, which is no mean feat.


Incidentally, this post explains why deploying a so-called IPS does nothing for ensuring "security." Of course, you can demonstrate that it blocked attacks X, Y, and Z. But, how can you be sure it didn't miss something?

If you want to spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least amount of money to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest step towards Magnificent Number 7, you should implement Network Security Monitoring.

Sunday, October 21, 2007

Counterintelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Threat

Friday I attended an open symposium hosted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive (ONCIX). It was titled Counterintelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Threat and featured speakers and panels from government, law enforcement, industry, legal, and academic organizations. I attended as a representative of my company because our CSO, Frank Taylor, participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry panel.

If you're not familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term counterintelligence, let me reproduce a section from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCNIX Web site:

Counterintelligence is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business of identifying and dealing with foreign intelligence threats to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. Its core concern is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence services of foreign states and similar organizations of non-state actors, such as transnational terrorist groups. Counterintelligence has both a defensive mission — protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's secrets and assets against foreign intelligence penetration — and an offensive mission — finding out what foreign intelligence organizations are planning to better defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir aims.

I also recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Strategy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, 2007 (.pdf) which states:

Our adversaries -- foreign intelligence services, terrorists, foreign criminal enterprises and cyber intruders -- use overt, covert, and clandestine activities to exploit and undermine US national security interests. Counterintelligence is one of several instruments of national power that can thwart such activities, but its effectiveness depends in many respects on coordination with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r elements of government and with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War, our nation's adversaries gained access to vital secrets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most closely guarded institutions of our national security establishment and penetrated virtually all organizations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US intelligence and defense communities. The resulting losses produced grave damage to our national security in terms of secrets compromised, intelligence sources degraded, and loves lost, and would have been catastrophic had we been at war.
(emphasis added)

Minor note 1: if we were not at war during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Cold War," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why is it called a "War"? I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who died fighting would call it a war.

Minor note 2: foreign intelligence services, terrorists, and foreign criminal enterprises are all specific parties. "Cyber intruders" are more often one of those previous parties. Those who perform digital attacks but do not fall into one of those three categories are usually script kiddies or recreational hackers, and should not be explicitly mentioned as counterintelligence targets. My guess is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report considers cyber-instantiated threats to be serious enough to somehow mention explicitly, but not enough intellectual rigor was applied to this sentence (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War section).

Major note: does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section about penetrating virtually all organizations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US intelligence and defense communities surprise you? When I attended Air Force intelligence school in 1996-1997, one of our first instructors said:

"Most, if not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classified material you will see in your career has already been compromised. However, we have to act as if it's not."

I remembered thinking "What?!?" With hindsight, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I hear about spies found inside government agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I understand that statement.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 symposium fascinating, so I'd like to share a few thoughts. Dr. Joel Brenner, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive, provided plenty of noteworthy comments. He said that counterintelligence is not security.

  • A security person sees a hole in a fence and wants to patch it.

  • A CI person sees a hole in a fence and wants to understand who created it, how it is being abused, and if it can be turned into an asset to use against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.


Dr. Brenner said about 140 foreign intelligence surveillance organizations currently target cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. Three strategic issues are at play:

  1. Threats to sovereign (US) networks, especially in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber domain. Dr. Brenner said There is growing acceptance that we face a cyber counterintelligence problem, not a security problem. I agree with this, and will have more to say about it in a future blog entry. He stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alteration attack (racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure or destrucion attacks) as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major problem facing US networks.

  2. Acquisition risk, i.e., supply chain risks. Dr. Brenner said we need technically literate lawyers and policymakers to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se risks.

  3. Collaboration, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof. Dr. Brenner notes that out current "cooperation model" is a function of our "classification model," resulting in an antiquated system that serves no one well.


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting comments was this:

Industry talks risk management but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really do risk acceptance, not risk mitigation.

How true that is!

Chris Inglis, Deputy Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA and a fellow USAFA grad, used a term I liked with regard to fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber adversary. He said we need to outmaneuver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary, not solve security problems. I love this because it implies "security" can't be "solved," and it provides a reason to review maneuver warfare as a way to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

John McClurg, Vice President for security at Honeywell, described his "validated data" approach to obtaining business buy-in for security initiatives. He collects data to support a security program and presents it to managers as a means to justify his work. This sounds a lot like showing evidence that a business unit is owned or about to be owned. I like this idea and my work with NSM would help provide such data.

Scott O’Neal, Chief Computer Intrusion Section, Cyber Division, FBI, said The adversary is clearly ahead of security. This is a fact we have to accept. This echoes statements I made earlier this year and at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times. The FBI addresses intrusions through three points of view: CT (counterterrorism), CI (counterintelligence) and criminal.

I'll have more to say on this subject in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 months ahead.

Friday, October 12, 2007

Air Force Cyberspace Report

This week I attended Victory in Cyberspace, an event held at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Press Club. It centered on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of a report written by Dr. Rebecca Grant for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Association's Eaker Institute. The report is titled Victory in Cyberspace (.pdf). The panel (pictured at left) included Lt. Gen. Robert J. Elder, Lt Gen. (ret) John R. Baker, and Gen. (ret) John P. Jumper. Dr. Grant is seated at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right.

As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event went, I found it interesting. If you are exceptionally motivated you can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire 90 min briefing in .wmv format here. I'd like to share a few thoughts.

First, I was impressed by all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers. Lt. Gen. Baker led AIA when I was a Captain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time Gen. Jumper led Air Combat Command, before becoming Chief of Staff. I learned Lt. Gen. Elder has a PhD in engineering.

Lt. Gen. Elder commented that cyberspace is a domain similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocean, and he specifically drew parallels with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy. (This made me wonder why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy isn't taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead on defending cyberspace.) In order to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocean for commercial purposes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain must be controlled so ships are protected from harm. Cyberspace is similar, except that in addition to requiring control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain in order to use it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain must first be created. (No one needs to create an ocean.)

Control, however, does not mean "ownership." Elder specifically stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force does not plan to "own cyberspace;" cyberspace is more of a "strategic commons" like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocean. Cyberspace is also not confined only to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. A presentation by Dr. Lani Kass titled Cyberspace: A Warfighting Domain cites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classified National Military Strategy for Cyberspace Operations to define cyberspace as:

a domain characterized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of electronics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 electromagnetic spectrum store, modify and exchange data via networked systems and associated physical infrastructures.

(Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NMSCO, I read a Joint document is en route, according to Joint Staff readies cyber operations plan.)

Elder's presentation featured plenty of military jargon, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great "OODA loop" (observe, orient, decide, act) and a new "effects chain" (find, fix, target, engage). (That sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OODA loop, doesn't it?)

One of Elder's major points, reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's recognition that cyberspace (broadly meaning communications, I believe) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for all Air Force operations. I would argue that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services are equally dependent on cyberspace. That reminds me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of United States Transportation Command. It makes sense to me that cyberspace activities are currently part of United States Strategic Command.

USSTRATCOM accomplishes its cyber mission through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Task Force - Global Network Operations (JTF-GNO, led by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander of Defense Information Systems Agency), Joint Functional Component Command - Network Warfare (JFCC-NW, led by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 director of National Security Agency), and Joint Information Operations Warfare Command (JIOWC, led by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander of Air Force Intelligence, Surveillance, and Reconnaissance Agency).

If cyberspace is truly a warfighting domain (alongside land, sea, aerospace), I don't see who can argue against an independent Cyber Force. (I don't argue for a separate Space Force because I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force will eventually be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aerospace Force.) Elder rejects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of an individual Cyber Force in Dr. Grant's report, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same feeling about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Corps before 1947. We can separate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world into physical and virtual, or as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military likes to say, "kinetic" and "non-kinetic." I find it hard to believe that a cyber operator who reads and manipulates hex is going to find much in common with someone who kills people by exploding ordnance.

Elder mentioned some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tasks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force expects to perform to better secure its networks. These included a "cyber standardization and evaluation team," application assurance testing, software tamper detection via signatures and hashes, clusters of systems voting on proper outcomes, "cyber sidearms" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of tools on individual laptops, and a specific cyber Air Force Specialty Code (AFSC). If this had happened 10 years ago my career would have been very different and probably much longer!

Elder finished his talk describing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Code affects Air Force activities. For example, Title 10 (Armed Forces) restricts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active duty military. Similar restrictions affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community through Title 50 (War and Defense). However, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air National Guard operates under Title 32 (National Guard), it has more room to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial sector and local governments with network defense. Elder said he would like to see Guard cyber units in every state, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of a squadron up to a wing. I thought this was a fairly exciting concept, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Guard is likely to contain people with industry experience.

Lt. Gen. Baker and Gen. Jumper only spoke for a few minutes each. Jumper really hammered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquisition community for providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "block 40 upgrade to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 block 30 capability" and thinking that helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warfighter. He recommended writing Concepts of Operations before deciding what to buy. (Wow, sounds just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial world; don't let vendors drive your security program!) Jumper said we need a "PhD-quality Weapons School," aggressor forces, and policy and doctrine modeled on offensive and defensive counter-air operations.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question phase, when asked why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys are "so much better" than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys, Jumper replied "Bad guys don't have policy constraints." I believe Baker stated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest problem he sees in industry is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feeling that "we don't think it [breaches] can happen to us,", he said, "but it's happening every day."

As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report itself, I realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author did not have any experience in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of computer network defense, exploitation, or warfare. Having just watched two shows on Army and Marine snipers, it made me think how it must sound to a sniper for a non-sniper to write a report on sniper craft. Disappointingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Estonia "cyberwar" was presented as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 galvanizing action that should stir everyone's pot. In describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report author wrote:

The attackers also used illicitly linked computers around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe to mount an enhanced onslaught. These attacks were conducted by networks of "bots" -- a bot being an automated program that accesses web sites and traverses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site by following links on its pages.

So, it appears we should pin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame on Web crawlers. Sigh.

I also read about "Windows 1.0" being released in August 1995 and "Windows 2.0" in November 1995.

Apparently no one did a technical edit of this report. It's clear it took a lot of work to write this report, however. There's plenty of history, references and interviews. I would not have wanted to undertake this task, since I would have required a few years to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history right.

I found this one item immensely interesting, so I'll close with it:

[One] difficulty is estimating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission. "We are well past cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $5 billion per year mark, and I don't know where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top end is," commented one STRATCOM official. "The $5 billion is mostly on defense. We buy huge amounts of software and people to run that, but it's totally ineffective against Tier III" cyber [advanced persistent] threats, this official noted. (emphasis added)

Thursday, October 11, 2007

Alternatives to "Expert Opinions"

If you read The Doomsday Clock you probably recognize I have a dim opinion of "expert opinion," especially by committee. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of making a political statement, I rank expert opinion alongside central planning as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst ways to make decisions -- at least where a large amount of complexity must be accommodated.

What is my alternative? I believe free markets are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to syncá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365size competing data points to produce an assessment. Does this sound familiar? If yes, you may be thinking of this 2003 story: The Case for Terrorism Futures:

Critics blasted policy-makers Tuesday for dropping a controversial plan to create a futures market to help predict terrorist strikes...

[S]upporters of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project point out that gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring intelligence is often a messy business, with payoffs to unsavory characters and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elimination of potential adversaries. The futures market, ugly as it may sound, doesn't involve any of those moral compromises, said Robin Hanson, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier promoters of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of trading floors for ideas and a PAM [Policy Analysis Market] project contributor. It's just a way of capturing people's collective wisdom...

Projects similar to PAM, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iowa Electronic Markets, which speculate on election results, have been surprisingly reliable indicators of what's going to happen next...

The price of orange juice futures has even been shown to accurately predict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r...

Traders on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hollywood Stock Exchange last year correctly picked 35 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40 Oscar nominees in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eight biggest categories, according to The New Yorker magazine...

Market mechanisms are more accurate than asking people cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir opinions because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir money or reputation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line," said Ken Killitz of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foresight Exchange, which speculates on everything from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of human cloning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility that Roman Catholic priests will be allowed to marry. "It gives people an incentive to reveal what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know..."

[E]xchanges "tend to predict events really well when no one person knows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer -- when information is distributed among many people with different knowledge bases," said Joyce Berg, a University of Iowa professor who helped organize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 political trading floors...

Markets also bring togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people with information about a particular subject in a way blue-ribbon panels of experts can't, added Hanson.

"You get people that know things about a subject, but don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials to say so," he said. "You get people who live in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas (of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Middle East)."

There's also "less of an ability to spin" in markets than in policy debates, Hanson noted. "So you get what people actually think, not what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say."


I love this idea. The fact that intellectual pygmies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senate defeated it is a real shame.

I found many interesting articles on this subject by Robin D. Hanson from George Mason University and Oxford's Future of Humanity Institute; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter offers a Global Catastrophic Risks program that is probably more interesting (but less marketing-savvy) than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Doomsday Clock.

If you're sufficiently motivated to start arguing against this idea, I will probably just point back into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 literature (especially Hanson's) countering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se complaints.

If you're wondering why I mention this at all, it ties into my mention of security breach derivatives in my post Excerpts from Ross Anderson / Tyler Moore Paper.

Wednesday, October 10, 2007

The Doomsday Clock

Tonight I finished watching a show called The Doomsday Clock, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best TV channel (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 History Channel, of course). I was vaguely aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock, maintained by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bulletin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atomic Scientists, but I didn't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project. According to Minutes to Midnight:
The Bulletin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atomic Scientists’ Doomsday Clock conveys how close humanity is to catastrophic destruction--cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figurative midnight--and monitors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means humankind could use to obliterate itself. First and foremost, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se include nuclear weapons, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y also encompass climate-changing technologies and new developments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 life sciences and nanotechnology that could inflict irrevocable harm.

Interesting -- you know what this is? It's a risk assessment. In my first book I defined risk as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of suffering harm or loss. The Doomsday Clock supposedly displays how close we are to world-ending catastrophe.

I find two aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock appealing.



First, as depicted by Information Aescá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock rapidly and clearly communicates its message. If you see fewer and fewer minutes until midnight, you sense something bad is about to happen. It's language-neutral and concise.



Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act of moving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n tracking hand position over time provides a sense of risk trending. As depicted by Wikipedia above, you can get a historical reading of risk by watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of minutes to midnight rise and fall. The interval between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hand position changes is also significant.

The problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Doomsday Clock is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem found in many, if not most, risk assessments. It is more or less arbitrary. The creation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial position of its hands was completely arbitrary, in fact! The designer of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock, artistic designer Martyl Langsdorf, invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 June 1947 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bulletin. She positioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands to be aescá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tically pleasing, not to show how close we were to destruction. When you consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time she could have worked with (12 hours), limiting herself to a fifteen minute window set a precedent for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next sixty years. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock has moved outside this 15 minute window (for example, in 1991) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 precedent was set too narrowly. What will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bulletin do when even greater threats exist -- move to second and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n nano-second increments?

In response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet's 1949 detonation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first atomic weapon, Bulletin founder and editor Eugene Rabinowitch told Langsdorf to move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands from 7 minutes to midnight to 3 minutes to midnight. Again, this choice was basically to convey urgency. Only when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands were moved on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magazine cover did readers start to appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information conveyed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock.

From this point forward, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands have moved back and forth as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bulletin members and, more recently, outside parties have haggled about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands. I have a feeling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se meetings would drive me crazy. It's a collection of people with opinions arguing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of hands on a clock created originally for artistic value. Still, as noted in my two "appealing" points, I think we can learn some lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Doomsday Clock regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to quickly and powerfully communicate risk to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

While researching this post I discovered that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACLU jumped on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "clock bandwagon" with its Surveillance Society Clock. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACLU, "It's six minutes before midnight as a surveillance society draws near within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States." This is dumb for multiple reasons.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACLU chose a digital clock. I don't know about you, but for me a digital clock doesn't convey an amount of time as visually as an analog clock. It's like a speedometer; seeing it pegged to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right is more powerful than reading "101 MPH" or similar. Second, as Wired magazine astutely asked how do we know when we're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re? It's tough to ignore Armageddon; it's easy to ignore a "surveillance state." Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACLU painted itself into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same corner as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bulletin did when it chose to set its initial time so close to midnight. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACLU going to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock when remote mind-reading is in use?

Be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caveman Lawyer

A few weeks ago I recommended security people to at least Be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caveman and perform basic adversary simulation / red teaming. Now I read Australia's top enterprises hit by laymen hackers in less than 24 hours:

A penetration test of 200 of Australia's largest enterprises has found severe network security flaws in 79 percent of those surveyed.

The tests, undertaken by University of Technology Sydney (UTS), saw 25 non-IT students breach security infrastructure and gain root or administration level access within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks of Australia's largest companies, using hacking tools freely available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

The students - predominately law practitioners - were given 24 hours to breach security infrastructure on each site and were able to access customer financial details, including confidential insurance information, on multiple occasions.

High-level business executives from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies surveyed, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than IT staff, were informed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "day-to-day network security" of businesses could be tested.
(emphasis added)

Again, my advice is simple, but now it is modified. Be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caveman Lawyer.

One ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21 percent of companies who passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetration tests owed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir success to freeware Intrusion Detection Systems (IDSs), according to Ghosh.

Snort was mentioned earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. That means you can be a Cheap Caveman Lawyer and prepare for common threats.

Saturday, October 06, 2007

Intruders Continue to Be Unpredictable

One of my three basic security principles is advanced intruders are unpredictable. Believing you can predict what intruders are going to do next results in soccer-goal security. As I said in Pescatore on Security Trends, advanced attackers are digital innovators. I think I will start calling advanced intruders intrupreneurs.

I just read and watched great examples of this principle in action courtesy of pdp at CITRIX: Owning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Legitimate Backdoor. I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post and watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two videos. If you are practicing Network Security Monitoring I recommend querying your session data for all incoming Citrix traffic, for as far back as you have stored, for unusual or unexpected activity. If you are not practicing NSM already I suggest beginning emergency NSM to watch your Citrix servers.

It's important to realize that you may not even know you have certain Citrix servers active on your network. The flip side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders are unpredictable principle is that your network is probably unpredictable too! In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, you could be happy thinking "we have no Citrix servers," but after looking via NSM you find you do. It's probable a bad guy found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m before you did, but courtesy of NSM you have data about what happened. More often than not, that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best you can do with your time and resources.

Monday, October 01, 2007

Someone Please Explain Threats to Microsoft

It's 2007 and some people still do not know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between a threat and a vulnerability. I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of posts that make me all sorts of new friends, but nothing I say will change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir minds anyway. To wit, Threat Modeling Again, Threat Modeling Rules of Thumb:

As you go about filling in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat model threat list, it’s important to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of entering threats and mitigations. While it can be easy to find threats, it is important to realize that all threats have real-world consequences for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development team.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, this process is about ensuring that our customer’s machines aren’t compromised. When we’re deciding which threats need mitigation, we concentrate our efforts on those where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can cause real damage.

When we’re threat modeling, we should ensure that we’ve identified as many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential threats as possible (even if you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re trivial). At a minimum, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats we list that we chose to ignore will remain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document to provide guidance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.


Replace every single instance of "threat" in that section with "vulnerability" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording will make sense.

Not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat" properly is a hallmark of Microsoft publications, as mentioned in Preview: The Security Development Lifecycle. I said this in my review of Writing Secure Code, 2nd Ed:

The major problem with WSC2E, often shared by Microsoft titles, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misuse of terms like "threat" and "risk." Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implied meanings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms varies depending on Microsoft's context, which is evidence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors are using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words improperly. It also makes it difficult for me to provide simple substitution rules. Sometimes Microsoft uses "threat" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really mean "vulnerability." For example, p 94 says "I always assume that a threat will be taken advantage of." Attackers don't take advantage of threats; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ARE threats. Attackers take advantage of vulnerabilities.

Sometimes Microsoft uses terms properly, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion of denial of service as an "attack" in ch 17. Unfortunately, Microsoft's mislabeled STRIDE model supposedly outlines "threats" like "Denial of service." Argh -- STRIDE is just an inverted CIA AAA model, where STRIDE elements are attacks, not "threats." Microsoft also sometimes says "threat" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean "risk." The two are not synonyms. Consider this from p 87: "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only viable software solution is to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall threat probability or risk to an acceptable level, and that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate goal of 'threat analysis.'" Here we see confusing threat and risk, and calling what is really risk analysis a "threat analysis." Finally, whenever you read "threat trees," think "attack trees" -- and remember Bruce Schneier worked hard on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se but is apparently ignored by Microsoft.


These sentiments reappeared in my review of Security Development Lifecycle: Microsoft continues its pattern of misusing terms like "threat" that started with "Threat Modeling" and WSC2E. SDL demonstrates some movement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's authors towards more acceptable usage, however. Material previously discussed in a "Threat Modeling" chapter in WSC2E now appears in a chapter called "Risk Analysis" (ch 9) -- but within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms are mostly still corrupted. Many times Microsoft misuses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term risk too. For example, p 94 says "The Security Risk Assessment is used to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's level of vulnerability to attack." If you're making that decision, it's a vulnerability assessment; when you incorporate threat and asset value calculations with vulnerabilities, that's true risk assessment.

The authors try to deflect what I expect was criticism of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir term misuse in previous books. On p 102 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say "The meaning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word threat is much debated. In this book, a threat is defined as an attacker's objective." The problem with this definition is that it exposes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terminology. The authors make me cringe when I read phrases like "threats to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system ranked by risk" (p 103) or "spoofing threats risk ranking." On p 104, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are really talking about vulnerabilities when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write "All threats are uncovered through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis process." The one time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do use threat properly, it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir definition is nonsensical: "consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider-threat scenario -- should your product protect against attackers who work for your company?" If you recognize that a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Microsoft is describing insiders appropriately -- but not as "an attacker's objective."

Don't get me wrong -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot to like about SDL. I gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book four stars, and I think it would be good to read it. I fear, though, that this is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book distributed to Microsoft developers and managers riddled with sometimes confusing or outright wrong ways to think about security. This produces lasting problems that degrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community's ability to discuss and solve software security problems.


No one is going to take us seriously until we use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right terms. Argh.

Saturday, September 29, 2007

Cyberinsurance in IT Security Management

One more thought before I retire this evening. I really enjoyed reading Cyberinsurance in IT Security Management by Walter S. Baer and Andrew Parkinson. Here are my favorite excerpts.

IT security has traditionally referred to technical protective measures such as firewalls, aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication systems, and antivirus software to counter such attacks, and mitigation measures such as backup hardware and software systems to reduce losses should a security breach occur. In a networked IT environment, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economic incentives to invest in protective security measures can be perverse. My investments in IT security might do me little good if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems connected to me remain insecure because an adversary can use any unprotected system to launch an attack on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

In economic terms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private benefits of investment are less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social benefits, making networked IT security a public good — and susceptible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free-rider problem. As a consequence, private individuals and organizations won’t invest sufficiently in IT security to provide an optimal (or even adequate) level of societal protection.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas, such as fire protection, insurance has helped align private incentives with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall public good. A building owner must have fire insurance to obtain a mortgage or a commercial business license. Obtaining insurance requires that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building meet local fire codes and underwriting standards, which can involve visits from local government and insurance company inspectors. Insurance investigators also follow up on serious incidents and claims, both to learn what went wrong and to guard against possible insurance abuses such as arson or fraud. Insurance companies often sponsor research, offer training, and develop best-practice standards for fire prevention and mitigation.

Most important, insurers offer lower premiums to building owners who keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir facilities clean, install sprinklers, test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir control systems regularly, and take ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r protective measures. Fire insurance markets thus involve not only underwriters, agents, and clients, but also code writers, inspectors, and vendors of products and services for fire prevention and protection. Although government remains involved, well-functioning markets for fire insurance keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility for and cost of preventive and protective measures largely within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector.


That is so compelling. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberinsurance market is currently small:

[B]usinesses now generally buy stand-alone, specialized policies to cover cyberrisks. According to Betterley Risk Consultants surveys, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual gross premium revenue for cyberinsurance policies has grown from less than US$100 million in 2002 to US$300 to 350 million by mid 2006. These estimates, which are based on confidential survey responses from companies offering cyberinsurance, are nearly an order of magnitude below earlier projections made by market researchers and industry groups such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Insurance Information Institute.

But Betterley, like many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industry experts, believes that cyberinsurance will be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest growing segments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property and casualty market over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next several years. With only 25 percent of respondents to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent Computer Security Institute/US Federal Bureau of Investigation Computer Crime and Security survey reporting that, “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organizations use external insurance to help manage cybersecurity risks,” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market has plenty of room for growth.


So what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems?

The reported 25 percent cyberinsurance adoption rate appears low to many observers, given well-publicized increases in IT security breaches and greater regulatory pressures to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Although we could partially attribute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slow uptake to how long it takes organizations to acknowledge new security risks and budget for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors seem to be of particular concern for cyberinsurance. They include problems of asymmetric information, interdependent and correlated risks, and inadequate reinsurance capacity...

Insurance companies feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of asymmetric information both before and after a customer signs an insurance contract. They face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adverse selection problem—that is, a customer who has a higher risk of incurring a loss (through risky behaviors or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r—perhaps innate—factors) will find insurance at a given premium more attractive than a lower-risk customer. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer can’t differentiate between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m—and offer differentiated premiums—it won’t be able to sustain a profitable business.

Of course, to some extent, insurance companies can differentiate between risk types; sophisticated models can predict risk for traditional property/casualty insurance, and health insurance providers try to identify risk factors through questionnaires and medical examinations. Insurers can also apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se mechanisms to cyberinsurance: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can undertake rigorous security assessments, examining in-depth IT deployment and security processes.

Although such methods can reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asymmetric information between insurer and policyholder, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can never completely eliminate it. Particularly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security field, because risk depends on many factors, including technical and human factors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir interaction, surveys can’t perfectly quantify risk, and premium differentiation will be imperfect.

The second impact of asymmetric information occurs after an insurance contract has been signed. Insured parties can take (hidden) actions that increase or decrease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of claiming (for example, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of car insurance, driving carelessly, not wearing a seatbelt, or failing to properly maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurer can’t observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insured’s actions perfectly. Under full insurance, an individual has little incentive to undertake precautionary measures because any loss is fully compensated—a problem economists term moral hazard.

Insurers may be able to mitigate certain actions through partial insurance (so making a claim carries a monetary or convenience cost) and clauses in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurance contract—for example, policyholders must usually meet a set standard of care, and fraudulent or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r criminal actions (such as arson) are prohibited. However, many actions remain unobservable, and it’s difficult to prove that a client didn’t meet a due standard of care.

Cyberinsurers could administer surveys at regular intervals and link coverage to a certain minimum standard of security. Although this might be feasible from a technical standpoint, human factors are often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain and possibly unobservable, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moral hazard problem might not be completely alleviated, implying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purchase of cyberinsurance could in fact reduce efforts on information security. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, purchasers also have incentives to increase effort—that is, to invest in security to obtain insurance or reduce premiums—that would outweigh moral hazard effects in a viable and well-functioning market.

The problem of asymmetric information is common to all insurance markets; however, most markets function adequately given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of tactics used by insurance companies to overcome cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se information asymmetries. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se remedies have developed over time in response to experience and result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 well-functioning insurance markets we see today.


This gives me some hope. The article continues:

[G]overnment actions to spur development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberinsurance market could include assigning liability for IT security breaches, mandating incident reporting, mandating cyberinsurance or financial responsibility, or facilitating reinsurance by indemnifying catastrophic losses. Clarifying liability law to assign liability “to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party that can do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best job of managing risk” would make good economic sense, but it seems a political nonstarter in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US—and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem’s global nature would require a global response.

Similarly, government regulations that mandate reporting of cyberincidents (similar to that required for civil aviation incidents and contagious disease exposures) appear to have little political support. Probably more plausible in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short run would be contractual requirements that government contractors carry cyberliability insurance on projects highly dependent on IT security...

Jane Winn of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Washington School of Law has proposed a self-regulatory strategy, based on voluntary disclosures of compliance with security standards and enforcement through existing trade practices law, as a politically more viable alternative than new government regulation. Such a strategy would require increased public awareness of cybersecurity (with possible roles for government) as well as public demand that organizations disclose whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y comply with technical standards or industry best practices.

Disclosures would be monitored for compliance by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers and competitors; and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of deceptive advertising, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Federal Trade Commission could take enforcement action under existing regulation. This strategy could spur cyberinsurance adoption, which would indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization has passed a security audit or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise met underwriters’ security standards.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important role for government would be to facilitate a full and deep cyberreinsurance market, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK and US have done for reinsurance of losses due to acts of terrorism.


What a great article. I recommend reading it.