Showing posts with label feds. Show all posts
Showing posts with label feds. Show all posts

Wednesday, June 10, 2015

My Federal Government Security Crash Program

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of recent intrusions into government systems, multiple parties have been asking for my recommended courses of action.

In 2007, following public reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 State Department breach, I blogged When FISMA BitesInitial Thoughts on Digital Security Hearing. and What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do. These posts captured my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department intrusion.

The situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n mirrors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current one well: outrage over an intrusion affecting government systems, China suspected as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, and questions regarding why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's approach to security does not seem to be working.

Following that breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department hired a new CISO who pioneered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "continuous monitoring" program, now called "Continuous Diagnostic Monitoring" (CDM). That CISO eventually left State for DHS, and brought CDM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. He is now retired from Federal service, but CDM remains. Years later we're reading about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OPM intrusions. CDM is not working.

My last post, Continuous Diagnostic Monitoring Does Not Detect Hackers, explained that although CDM is a necessary part of a security program, it should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority. CDM is at heart a "Find and Fix Flaws Faster" program. We should not prioritize closing and locking doors and windows while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Accordingly, I recommend a "Detect and Respond" strategy first and foremost.

To implement that strategy, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, three-phase approach. All phases can run concurrently.

Phase 1: Compromise Assessment: Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government can muster cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and authority, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Management and Budget (OMB), or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency such as DHS, should implement a government-wide compromise assessment. The compromise assessment involves deploying teams across government networks to perform point-in-time "hunting" missions to find, and if possible, remove, intruders. I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "remove" part will be more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se teams can handle, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of what I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will find. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, simply finding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders, or a decent sample, should inspire additional defensive activities, and give authorities a true "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

Phase 2: Improve Network Visibility: The following five points include actions to gain enhanced, enduring, network-centric visibility on Federal networks. While network-centric approaches are not a panacea, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best balances between cost, effectiveness, and minimized disruption to business operations.

1. Accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployment of Einstein 3A, to instrument all Federal network gateways. Einstein is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government's network visibility problem, but given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current situation, some visibility is better than no visibility. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inline, "intrusion prevention system" (IPS) nature of Einstein 3A is being used as an excuse for slowly deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS capability should be disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion detection system" (IDS) mode should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default. Waiting until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2016 is not acceptable. Equivalent technology should have been deployed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

2. Ensure DHS and US-CERT have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to provide centralizing monitoring of all deployed Einstein sensors. I imagine bureaucratic turf battles may have slowed Einstein deployment. "Who can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is probably foremost among agency worries. DHS and US-CERT should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home for centralized analysis of Einstein data. Monitored agencies should also be given access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and DHS, US-CERT, and agencies should begin a dialogue on whom should have ultimately responsibility for acting on Einstein discoveries.

3. Ensure DHS and US-CERT are appropriately staffed to operate and utilize Einstein. Collected security data is of marginal value if no one is able to analyze, escalate, and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. DHS and US-CERT should set expectations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time that should elapse from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of collection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of analysis, and staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team to meet those requirements.

4. Conduct hunting operations to identify and remove threat actors already present in Federal networks. Now we arrive at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion operation. The purpose of improving network visibility with Einstein (for lack of an alternative at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment) is to find intruders and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This operation should be conducted in a coordinated manner, not in a whack-a-mole fashion that facilitates adversary persistence. This should be coordinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" mission in Phase 1.

5. Collect metrics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion campaign and devise follow-on actions based on lessons learned. This operation will teach Federal network owners lessons about adversary campaigns and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfortunate realities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. They must learn how to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed, accuracy, and effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defensive campaign, and how to prioritize countermeasures that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent. I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would begin considering additional detection and response technologies and processes, such as enterprise log management, host-based sweeping, modern inspection platforms with virtual execution and detonation chambers, and related approaches.

Phase 3. Continuous Diagnostic Monitoring, and Related Ongoing Efforts: You may be surprised to see that I am not calling for an end to CDM. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, CDM should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of Federal security measures. It is important to improve Federal security through CDM practices, such that it becomes more difficult for adversaries to gain access to government computers. I am also a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Internet Connection program, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is consolidating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Note: I recommend anyone interested in details on this matter see my latest book, The Practice of Network Security Monitoring, especially chapter 9. In that chapter I describe how to run a network security monitoring operation, based on my experiences since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

Thursday, August 09, 2012

DOJ National Security Division Pursuing Cyber Espionage

I just read Justice Department trains prosecutors to combat cyber espionage by Sari Horowitz, writing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Post. The article makes several interesting points:

Confronting a growing threat to national security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Justice Department has begun training hundreds of prosecutors to combat and prosecute cyber espionage and related crimes, according to senior department officials.

The new training is part of a major overhaul following an internal review that pinpointed gaps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department’s ability to identify and respond to potential terrorist attacks over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rapidly growing crime of cyber espionage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 officials said, describing it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time.

In recent weeks, Justice has begun training more than 300 lawyers in Washington and nearly 100 more across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 county in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal and technical skills needed to confront cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in cyber threats to national security...

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reorganization, teams of specialized lawyers within NSD in Washington will work with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and companies facing cyber intrusions. They will develop protocols for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community and federal agents in how to deal with private companies that are victims of cyber attacks. The issues revolve around how to build possible prosecutions within guidelines covering information sharing, privacy and civil liberties.

At least one prosecutor in each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 94 U.S. attorney’s offices around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country has been designated and will be trained to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evidence and prosecute cyber espionage and similar Internet-related cases.

This is very interesting if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus is truly on cyber espionage cases. DOJ persecutes physical espionage cases routinely (albeit with difficulty due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laws). Cyber espionage cases are almost never pursued. Working with private companies will be key to this problem, and that aspect is mentioned specifically in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article.

Let's see what happens!

Tuesday, January 29, 2008

TSA Lessons for Security Analysts

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past I've run several security teams, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force CERT's detection crew and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP division of a publicly traded company. In those positions I was always interested in assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance of my security analysts. The CNN article TSA tester slips mock bomb past airport security contains several lessons which apply to this domain.

Jason, a covert tester for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Transportation Security Administration, has been probing airport weaknesses for five years, beginning with big mock bombs before switching to ever smaller devices as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA adapts to evolving terrorist threats...

Even before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 September 11, 2001, terror attacks, government agencies deployed "red teams" such as this one to look for holes in airport security...

But instead of running from tests, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency has embraced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that testing has a value that goes beyond measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance of individual screeners.

Tests, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA says, can show systemwide security vulnerabilities...

[S]creeners who fail to detect contraband are "pulled off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line" and retrained before being allowed back.

The test CNN witnessed was conducted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA's Office of Inspection, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sophisticated of its covert tests. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

For starters, every TSA X-ray machine has a Threat Image Projection system, which digitally inserts images of guns, knives and bombs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X-rays of luggage, to keep screeners alert...

If screeners observe a suspicious object, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can check with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple click of a computer mouse. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect a threat object, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer congratulates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Successes and failures are recorded for use in a screener's performance evaluation and are factors in determining pay.

Some 69,929 threat image tests are conducted on an average day, or more than 25 million tests per year. An array of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tests also are conducted to assess screeners, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team ones.


I've described elsewhere why I support red teams. I certainly recognize that one of my Three Wise Men savages red teams, but I've never seen anything else -- short of an actual incident -- make a dent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitudes of management. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, red teaming, as a real-life test, tends to discover and link vulnerabilities in ways not anticipated by some vulnerability assessors (blue teams) and general security architects. There's no ground truth like saying "I accomplished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission using this method" when someone is claiming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network is "secure."

I also like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method to test analysts by inserting false images. Fighting analyst boredom is a big problem in some operational teams.

Saturday, December 15, 2007

Feds Plan to Reduce, Then Monitor

According to OMB directs agencies to close off most Internet links, by June 2008 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government plans to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Internet connections it maintains, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m more closely:

The Office of Management and Budget's Trusted Internet Connections (TIC) initiative likely is to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last publicized program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bush administration's stepped-up focus on cybersecurity, some experts say. More importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new initiative requires agencies to implement real-time gateway monitoring, which has been a deficit in federal network protection.

The TIC initiative mandates that officials develop plans for limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Internet connections into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir departments and agencies. OMB officials want to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more than 1,000 to about 50, said Karen Evans, OMB's administrator for e-government and information technology.
(emphasis added)

This sounds promising. The story continues:

The initiative also asks chief information officers to develop a plan of action and milestones for participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Homeland Security Department's U.S. Computer Emergency Readiness Team's Einstein initiative. The program offers agencies real-time gateway monitoring capabilities and helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m react more quickly to security incidents. About 13 agencies voluntarily participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Einstein program.

"The reduction of access points to trusted Internet connections will improve our situational awareness and allow us to address potential threats in an expedited and efficient manner," Evans said. "While we optimize and improve our security, it is also our goal to minimize overall operating costs for services through economies of scale."


Reduction of gateways + enhanced monitoring = better, stronger, faster -- and cheaper.

The story With Internet gateways, less is more adds:

A June deadline for agencies to consolidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Internet connections coincides with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OMB deadline. June is also when agencies must upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backbone networks to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next-generation Internet protocol, IPv6...

“The [TIC] initiative is saying, ‘We have to know what we own in order to protect it,’ ” Evans said. “We also must know we are managing risk at an acceptable level.”

Evans said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government has more than 1,000 gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public Internet.

The target number is 50, but that is not an absolute number, she said. “We know 1,000 or more is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to do it. At a minimum, 50 is two per department.”

Fifty gateways is a reasonable number, Evans said, adding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department has reduced its Internet gateway count to 18. The Homeland Security Department expects to have only two Internet gateways after it completes its OneNet initiative.

“The 50 or so points of presence [would] become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government,” Evans said.
(emphasis added)

Kudos to Karen Evans. I am hopeful that someone who realizes FISMA Is a Joke has begun steering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government away from worthless documentation and towards real network security operations.

Wednesday, October 31, 2007

A Plea to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Worthies

You may have seen stories like Cybersecurity Experts Collaborate with subtitles like A think tank has tapped several heavyweight security experts to staff a commission that will advise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president. That story continues:

The Center for Strategic and International Studies (CSIS) wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commission to come up with a list of recommendations that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new president who takes office in January 2009 "can pick up and run with right away," said James Lewis, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIS Technology and Public Policy Program. The commission, made up of 32 cybersecurity experts, plans to finish its work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2008. I am fairly confident that nothing of value will come from this group, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one task which could completely reverse my opinion. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than wasting time on recommendations that will probably be ignored, how about taking a step in a direction that will have real impact: security metrics. That's right. Spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first day (or two, if you are a slow reader or can't sit still for long periods) reading Andy Jaquith's book. Next, and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crucial part:

Figure out how to play and score cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game before you pretend to think you can improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score.

What does this mean? Just a few ideas include:

  • Propose definitions for security, risk, threat, vulnerability, inside threat, external threat, and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words we use yet upon which we never agree. Hold hearings and invite real security people (not just digital security people) to express cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir views.

  • Propose some metrics and see how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operations define success. Hold hearings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of that process.

  • Apply metrics to some real organizations and gain a baseline set of numbers. Repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process at determined time intervals. Try to identify correlations and if possible causations. Be anonymous if necessary, but use a real methodology and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-selection applied by CSI/FBI and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.


Do you see where I am going here? At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process we could have a framework for seeing just what is happening. I defy anyone to tell me just how bad or good our digital security situation is right now. Some say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky is falling, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs say we're happy! happy!, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs say we're just as secure as we need to be to continue limping along. It is a proper role for a panel of worthies to help figure out how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is played and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score is. It is a waste of time to make recommendations before those basic steps have been taken.

Tuesday, September 25, 2007

DHS Debacle

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Level story FBI Investigates DHS Contractor for Failing to Protect Gov't Computer I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Post story Contractor Blamed in DHS Data Breaches:

The FBI is investigating a major information technology firm with a $1.7 billion Department of Homeland Security contract after it allegedly failed to detect cyber break-ins traced to a Chinese-language Web site and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n tried to cover up its deficiencies, according to congressional investigators.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probe is Unisys Corp., a company that in 2002 won a $1 billion deal to build, secure and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information technology networks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Transportation Security Administration and DHS headquarters. In 2005, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was awarded a $750 million follow-on contract.

On Friday, House Homeland Security Committee Chairman Bennie Thompson (D-Miss.) called on DHS Inspector General Richard Skinner to launch his own investigation.

As part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contract, Unisys, based in Blue Bell, Pa., was to install network-intrusion detection devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unclassified computer systems for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA and DHS headquarters and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks. But according to evidence gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Homeland Security Committee, Unisys's failure to properly install and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices meant that DHS was not aware for at least three months of cyber-intrusions that began in June 2006.

Through October of that year, Thompson said, 150 DHS computers -- including one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Procurement Operations, which handles contract data -- were compromised by hackers, who sent an unknown quantity of information to a Chinese-language Web site that appeared to host hacking tools.

The contractor also allegedly falsely certified that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network had been protected to cover up its lax oversight, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee.

"For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreds of millions of dollars that have been spent on building this system within Homeland, we should demand accountability by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor," Thompson said in an interview. "If, in fact, fraud can be proven, those individuals guilty of it should be prosecuted."


Wow. This is huge. I cannot remember any case like it. So what happened?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 attacks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS systems, hackers often took over computers late at night or early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning, "exfiltrating" or copying and sending out data over hours -- in one case more than five hours, according to evidence collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee.

Five hours. That indicates one means of detecting this sort of activity: time-based analysis of session records.

In July 2006, a Unisys employee detected a possible intrusion but "downplayed it and low-level DHS security managers ignored it," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee aide said.

It was not until Sept. 27, 2006, that two DHS systems managers noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir machines had been accessed with a hacking tool.

Unisys information technology employees began a probe and determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 break-in affected more computers. They discovered that it reached back as far as June 13 that year and had continued through at least Oct. 1, eventually reaching 150 computers.

Among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security devices Unisys had been hired to install and monitor were seven "intrusion-detection systems," which flag suspicious or unauthorized computer network activity that may indicate a break-in. The devices were purchased in 2004, but by June 2006 only three had been installed -- and in such a way that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could not provide real-time alerts, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. The rest were gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring dust in DHS storage closets and under desks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir original packaging, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aide said.
(emphasis added)

This explains a lot!

Let's finish with this thought:

A Unisys spokeswoman, Lisa Meyer... said that Unisys has provided DHS "with government-certified and accredited security programs and systems, which were in place throughout 2006 and remain so today."

Exactly. C&A has absolutely zero operational security value, as I wrote in FISMA 2006 Scores.

I commend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Congressional committee tracking this problem and I welcome future reporting. I would love to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expert witness in any trial between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and Unisys, but that is outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of my current employment!

Friday, June 15, 2007

DHS Einstein Demonstrates Value of Session Data

If you're looking for case studies to show management to justify collecting session data, check out Einstein keeps an eye on agency networks. I've known about this program for several years but waited until a high-profile story like this to mention it in my blog. Basically:

Since 2004, Einstein has monitored participating agencies’ network gateways for traffic patterns that indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of computer worms or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unwanted traffic. By collecting traffic information summaries at agency gateways, Einstein gives US-CERT analysts and participating agencies a big-picture view of bad activity on federal networks.

US-CERT’s security analysts use Einstein data to correlate cross-agency security incidents. Participating agencies can go to a secure Web portal to view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own network gateway data.

Einstein doesn’t eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for intrusion-detection systems on agencies’ networks, said Mike Witt, deputy director of US-CERT. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 24-hour monitoring program does give individual agencies a view of activity in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal network infrastructure that could affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own networks...

Ten agencies participate in Einstein, and four or five ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y plan to join by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year. Witt said DHS officials hope to have most Cabinet-level agencies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2008. DHS will try to expand participation to more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 midsize and small federal agencies later, he said.

“Einstein is not mandatory, so we have to do a sales job with agencies,” Witt said. Witt wouldn’t name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies that have signed up. In a public presentation last year, however, a DHS official identified eight participants. They were DHS, DOT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 departments of State, Treasury and Education, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Trade Commission, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securities and Exchange Commission, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Agency for International Development. The Justice Department has since joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program.


This is just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of project I'd like to roll out at my new job, possibly combining Argus with ArgusEye, or maybe just Sguil without Snort. The idea is to be an internal security awareness provider for business units, offering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m better insights into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network activity while using that data to monitor for attacks and respond to incidents more effectively.

After a pilot program to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach, I would consider more robust options like an internally-developed product or a commercial option. I know of at least one large customer of mine who read my first book and built cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own session and full content capture appliance for about $50,000, rated up to OC-48 for full content collection.

Note that Einstein is session data only, and from what I hear some people find its capabilities and data format lacking -- hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to run something else, pairing session data with full content. Session data is very helpful but never sufficient for real investigations.

Sunday, April 22, 2007

What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do

Recently I discussed Federal digital security in Initial Thoughts on Digital Security Hearing. Some might think it's easy for me to critique cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds but difficult to propose solutions. I thought I would try offering a few ideas, should I be called to testify on proposed remedies.

For a long-term approach, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps offered in Security Operations Fundamentals. Those are operational steps to be implemented on a site-by-site basis, and completing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government would probably take a decade.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short term (over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 12 months) I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. These ideas are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force implemented over fifteen years ago, partially documented in Network Security Monitoring History along with more recent initiatives.

  1. Identify all Federal networks and points of connectivity to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. This step should already be underway, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next one, as part of OMB IPv6 initiative. The Feds must recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope and nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to protect. This process must not be static. It must be dynamic and ongoing. Something like Lumeta should always be measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal network.

  2. Identify all Federal computing resources. If you weren't laughing with step 1, you're probably laughing now. However, how can anyone pretend to protect Federal information if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems that process that data are unknown? This step should also be underway as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPv6 work. Like network discovery, device discovery must be dynamic and automated. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least passive discovery systems should be continuously taking inventory of Federal systems. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extend active discovery can be permitted, those means should also be implemented. Please realize steps 1 and 2 are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as FISMA, which is static and only repeated every three years for known systems.

  3. Project friendly forces. You can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are becoming progressively difficult and intrusive into agency operations. With this step, I recommend third party government agents, perhaps operated by OMB for unclassified networks and a combination of DoD and ODNI for classified networks, "patrol" friendly networks. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y operate independent systems on various Federal networks, conducting random reconnaissance and audit activities to discover malicious parties. The idea is to get someone else besides intruders and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir victims into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sites, so an independent, neutral third party can begin to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of enterprise security. The Air Force calls this friendly force projection, which is a common term but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are performing it now on AF networks.

    This step is important because it will unearth intrusions that agencies can't find or don't want to reveal. It is imperative that end users, administrators, and managers become separated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision on reporting incidents. Right now incident reporting resembles status reports in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet Union. "Everything is fine, production is exceeding quotas, nothing to see here." The illusion is only shattered by whistleblowers, lawsuits, or reporters. Independent, ground-truth reporting will come from this step and from centralized monitoring (below).

  4. Build a Federal Incident Response Team. FIRT is a lousy name for this group, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be a pool of supreme technical skill available to all Federal enterprises. Each agency should also have an IRT, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be able to call upon FIRT for advice, information sharing, and surge support.

  5. Implement centralized monitoring at all agencies. All agencies should have a single centralized monitoring unit. Agents from step three should work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se network security monitoring services to improve situational awareness. Smaller agencies should pool resources as necessary. All network connectivity points identified in step 1 should be monitored.

  6. Create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Digital Security Board. As I wrote previously:

    The NDSB should investigate intrusions disclosed by companies as a result of existing legislation. Like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDSB would probably need legislation to authorize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se investigations.

    The NDSB should also investigate intrusions found by friendly force projection and centralized monitoring.


None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are easy. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appears to be support for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formula cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force adopted in 1992, with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps (like friendly force projection) being adopted only recently. I appreciate any comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ideas. Please keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are 30 minutes worth of thoughts written while waiting for a plane.

Also -- if you read this blog at taosecurity.blogspot.com, you'll see a new cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me. Blogger "upgraded" me last night, removing my old cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me and customizations. I think most people use RSS anyway, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change has no impact. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of archives on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right side now.

Update: I added step 6 above.

Friday, April 20, 2007

Initial Thoughts on Digital Security Hearing

Several news outlets are reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing I mentioned in my post When FISMA Bites. There following excerpts appear in Lawmakers decry continued vulnerability of federal computers:

The network intrusions at State and Commerce follow years of documented failure to comply with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act (FISMA), which requires agencies to maintain a complete inventory of network devices and systems. Government and industry officials at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing acknowledged a disconnect between FISMA's intent and effecting improved network security.

"The current system that provides letter grades seems to have no connection to actual security," said Rep. Zoe Lofgren, D-Calif.
(emphasis added)

WOW -- does Zoe Lofgren read my blog?

Some lawmakers are considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security should be given primary responsibility for overseeing federal network security, but officials at DHS and elsewhere suggested that wouldn't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best idea. Noting that DHS has not performed well on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual FISMA report card and has not implemented all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations put forth for improved analysis and warning capabilities for attacks, Greg Wilshusen, director of information security issues at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office, said it would be problematic from an organizational standpoint to put DHS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of compelling ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies to comply.

I agree DHS is not in a position to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but centralized network security is a good idea when skilled defenders are in short supply and high demand. It's clear that some agencies are not capable of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do a better job. Perhaps a "center of excellence" model might work, where an agency with a very good monitoring team might watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency with a very good red team might assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole network, and so on.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State intrusion appears in Response to May-July 2006 Cyber Intrusion on Department of State Computer Network and State Department got mail -- and hackers.

It's important to note that State was compromised by a zero-day, and a patch from Microsoft took eight weeks to be appear.

The article Intruders infect 33 US government computers with Trojans talks about a compromise an cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Commerce:

[T]he cyberintrusion affecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commerce Department's Bureau of Industry and Security systems was first noticed last July, when a Bureau of Industry and Security deputy under secretary reported being locked out of his computer. An investigation showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system had been compromised and someone had installed malicious code on it that was causing it to make unauthorised attempts to access anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau's network...

Investigations also showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system had attempted to access two external IP address[es] after business hours when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer was no longer being used...

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 days or so, investigators at Bureau of Industry and Security noticed about 10 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computers making similar attempts to connect with suspicious IP addresses. By 18 August, 32 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau systems and one non-bureau system had tried to communicate with at least 11 suspicious IP addresses...

To date, an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic data has shown no evidence that information was actually stolen, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromises, Jarrell said. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, it remains unclear just when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first breach occurred or for how long intruders might have had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bureau’s systems.


That's interesting. The initial incident is found through non-technical means ("Hey, my PC no workie!") but extrusion detection would have noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outbound connections. If BIS had been collecting session data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have known when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first attempt to access those external IPs occurred, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby helping to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

Tuesday, April 17, 2007

When FISMA Bites

After reading State Department to face hearing on '06 security breach I realized when FISMA might actually matter: combine repeated poor FISMA scores (say three F's and one D+) with publicly reported security breaches, and now Congress is investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department:

In a letter sent to Secretary of State Condoleeza Rice on April 6, committee Chairman Bennie Thompson asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide specific information regarding how quickly department security specialists detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department knows how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems may have been compromised during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. The three-page letter also asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide evidence that it completely eliminated any malicious software cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers may have planted, as well as documentation of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communications between State and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

I'm going to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology to see what is published on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se matters. It's ironic that FISMA scores really have nothing to do with State's problems, and no aspect of FISMA can answer any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions cited above.

Saturday, March 03, 2007

Full Content

Thanks to this story I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest 2006 FISMA Report. If you want a summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 findings, read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story. Here I'd like to highlight an amazing paragraph on page 14.

B. Incident Detection

Agencies must be able to quickly detect and respond to incidents. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next year, OMB will work with federal agencies to increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exchange of packet level (full content) information regarding incidents which have penetrated an agency’s perimeter. Sharing this data will enable more effective analysis of attacks targeting multiple Federal agencies, and may enable more timely responses to new threats. The sharing of intrusion data will also improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge base of analysts in Federal agencies.
(emphasis added)

I have a feeling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who wrote that part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report has read Tao or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r one of my works.

I am detecting a trend. People are starting to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot understand or even detect incidents without having facts to analyze. Most security products provide inferences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of alerts; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product makes a judgement on what it's seen. Alerts are helpful but never sufficient. Analysts are driven to investigate NSM data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of facts; amateurs are satisfied with managing inferences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of alerts.

Full content data is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best form of network-centric fact since it completely represents a conversation. Session data is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r excellent form of network-centric fact, but it sacrifices some granularity. Statistical data is a third form of network-centric fact, but it is least helpful because so much detail has been lost.

In an attempt to head off a blizzard of complaints, note I say "network-centric." As I've said many times elsewhere, sometimes a single accurate log statement like "File X containing Y was transferred between hosts A and B at time C over an encrypted channel using protocol Z" is more helpful than a million packets. However, sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only data you have is that which you can gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r passively and independently. I call that self-reliant Network Security Monitoring.

Expect to hear more on this topic at my ShmooCon talk. (Why oh why did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y schedule me against Joe Stewart? I really looked forward to seeing his talk. Argh.)

I am not alone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se thoughts. Please read this blog post by Tate Hansen. I'd reproduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole thing here since I like all of it.

Saturday, October 07, 2006

Thoughts from IATF Meeting

I try to attend meetings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Assurance Technical Forum once a year. I last visited in 2003 and 2005. The following are some thoughts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting I attended two weeks ago. They are not an attempt to authoritatively summarize or describe years of net-centric thought and work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Department of Defense. These are just a few thoughts based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations I saw in an unclassified environment.



Prior to seeing this diagram I had heard a lot about "net-centric warfare" but I had no real grasp of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying. It seemed more of a buzzword. Now I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of getting information from any source to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who need it, instead of, say Air Force sensors sending data to Air Force decision-makers who feed Air Force assets.



Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net-centric model, DoD needs to move away from a "System High" model of security to a "Transactional" model. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System High world, you essentially define a perimeter by classification (e.g., "Secret"), build a network for that classification (e.g., SIPRNET), and let anyone with a Secret clearance see anything on SIPRNET. This is procedure-based security at its best (actually, it's worst).



This figure shows how DoD wants to transition from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing model to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new model. It's moving away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current "baseline" in "increments," starting with Increment 1. Completion of Increment 1 is expected with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next five-year DoD plan, lasting 2008-2013 (!).

DoD's experience with coalition warfare in Iraq and Afghanistan is driving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes. One example involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to establish a separate network for every coalition partner. In one so-called "coalition village," DoD had to build 14 separate networks (US-UK, US-Poland, US-Italy, etc.). This is obviously costly and time-consuming. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new model, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se coalition partners will share one network but have access regulated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transactional security model. Virtualization and Digital Rights Management are going to be key for implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ideas.



This figure explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 layers present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise Sensor Grid, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that DoD is moving away from a strictly perimeter-based monitoring model to one that reaches all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to end hosts.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefers offered a set of metrics that I found interesting.

  • % of Red Team simulated attacks that are successful

  • % of remote access to DoD information systems and DoD access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet regulated by positive technical controls such as proxy services and screened subnets
    (DMZs)

  • % of DoD systems and applications that conform to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Ports, Protocols, and Service Policy

  • % of standardized and approved IA and IA enabled COTS products available to protect DoD sensitive and classified data (vs. GOTS)

  • % of NIPRNet Traffic that is encrypted


I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first metric to be especially interesting because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD uses it to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are missing. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, DoD (wisely) understands that it doesn't detect all attacks. They use Red Team exercises to estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't detect. This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of metric I believe to be useful. DoD also measures (and wants to vastly decrease) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time needed to detect and respond to intrusions. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir metrics on Red Team exercises.

I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference with a few concerns. First, I heard an emphasis on "pushing systems to DMZs." The idea is to remove systems accessible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public or coalition partners out of internal networks and into DMZs. While I agree that security zones are important, I wondering if DoD is fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last war again. Server-side attacks were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 predominant model of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, bleeding somewhat into this decade. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last three or four years, however, client-side attacks have been all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rage. DoD is moving to persistent and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pervasive monitoring (which includes end hosts), but I hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't ignore client-side vulnerabilities. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise of Web Services might reinvigorate DMZ-focused security.

After hearing one briefer joke about not understanding so-called "honey" technologies (honeypots, etc.) I worried that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se decision-makers don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks facing DoD networks. They of course understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, because those groups change but not as quickly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and techniques cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y employ. Keeping up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities and ways to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is extremely challenging, and does not map at all to five-year plans.

A second problem involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "black core." This is an encrypted network which will eventually dominant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD enterprise security model. This is similar to Microsoft's reported internal use of IPSec everywhere.

The black core emphasizes confidentiality, and to a certain degree integrity. It seems to sacrifice visibility. An IATF attendee made this point in a question. If just about everything is encrypted, what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of network-based monitoring? One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers replied that flow-based monitoring (i.e., analyzing session data) will still be helpful, but sessions only take you so far. I wonder if DoD might implement some "visibility taps" that decrypt-inspect-encrypt at various points in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black core?

Speaking of encryption, crypto appeared to be a major factor in DoD plans. This isn't surprising, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IATF's sponsor. Still, most security incidents don't happen because of failed crypto. Intrusions are often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of improper configuration and operation. I didn't hear much about addressing those problems, yet I heard that DoD is cutting IA personnel and funding!

Third, IPv6 wasn't formally mentioned in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations. An attendee had to ask about it specifically. An audience member from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary of Defense said IPv6 would work with DoD's plans, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience was skeptical.

Finally, DoD is relying heavily on vendors to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equipment and technology needed to implement its vision. Ideas of "protecting data in transit" (PDIT) and "protecting data at rest" (PDAR) are great concepts, but implementation questions remain. DoD also seemed not interested in data stored outside of its own systems. An attendee questioned how DoD is going to handle that concern, but it appears to have been largely ignored. This is a growing issue as we approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this decade, and I predict it will be a major issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next decade.

Incidentally, while driving to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IATF meeting I listened to a story on NPR about Boeing's plans for border security. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positive problems caused by tumbleweed! Maybe I should consider investigating cross-discipline intrusion detection problems (i.e., digital, financial, homeland security, and so on)?

References

Wednesday, September 06, 2006

Comment on Draft NIST Publications

Thanks to SANS I read this FCW story about new NIST draft publications, specifically Draft Special Publication 800-94, Guide to Intrusion Detection and Prevention (IDP) Systems (.pdf). I am worried about this document because it seems to imply that detection and prevention are equivalent functions. Recent Dark Reading stories like IDS/IPS: Too Many Holes? and IPS Technology: Ready for Overhaul have been critical of both technologies, but especially IPS.

Despite some vendor claims to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contrary, customers realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same inspection logic used to "detect intrusions" is supposed to be applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "prevent intrusions" problem. Since so-called "intrusion prevention" products were sold as devices that overcame "false positive" problems, many customers are disappointed are end up running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "IPS" in detect only mode. From this perspective, it makes sense for NIST to lump IDS and IPS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same category.

From an operational and consequences-based perspective, IDS and IPS are completely different. Management generally permits an IDS team with passive sensors to do just about anything it wants, shy of using RST tricks to deny traffic. Management does not take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same approach with IPS, since an IPS is just a smarter firewall. One bad IPS rule and business traffic is interrupted.

While on this subject, I consider it unfortunate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms IDS and IPS even exist. Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual function of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r device. IDS as used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of people seldom "detects intrusions." Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology is an Attack Indication System.

IPS is even more poorly named. An IPS is just a layer 7 firewall, so I would just as soon call an IPS a smarter firewall.

Finally, I read this press release:

[McAfee] announced that it has been selected to be deployed as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard network intrusion prevention solution for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force. The Air Force will use McAfee® IntruShield Network Intrusion Prevention System (IPS) and McAfee IntruShield Security Manager appliances to provide comprehensive and proactive protection for its worldwide non-classified and classified networks. The task order was awarded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's Combat Information Transport System (CITS) program office to prime contractor Booz Allen Hamilton under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force NETCENTS contract.

I'm guessing this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of ASIM?

Thursday, July 27, 2006

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Sign C&A is Really Broken

I just read an exceptionally interesting post at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ClearNet Security Blog. It explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Certification and Accreditation (C&A) process implemented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Department of Veteran's Affairs. Yes, those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same guys who lost that laptop with my Air Force records. Consider this blog excerpt:

Right about this time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second bomb shell went off.... The guy up front promptly says that all test results we collect are to be given to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VA. This makes sense as it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are entitled to our analyzed results right? Wrong! The guy corrects himself and says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results are not to be analyzed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditors but by VA personnel. Hmm...so at this point I am not touching a computer nor am I analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results for risk or what is wrong. Something seems very broken about this process at this point.

Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole post for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire story. I hope CNS continues to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences.

Monday, May 29, 2006

Recommended Reading on Federal IT

CIO Magazine absolutely hammered government IT in its lengthy story Federal I.T. Flunks Out. You wouldn't read that news in FCW. Commenting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is this former IRS CIO:

"Ultimately this is a security threat," says John Reece, a former IRS CIO and now a consultant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government. "If we can't get beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legacy systems we have today, while our enemies are starting off with state-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-art technology, what's going to happen is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to absolutely tear us to pieces again."

Wrong. It's not a security threat. Poor IT management is a vulnerability. Argh.

Wednesday, April 26, 2006

GAO Hammers Common Criteria

I've written about Common Critera before. If you also think CC is a waste of money, read GAO: Common Criteria Is Not Common Enough by Michael Arnone. It summarizes and comments upon a report by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accounting Office titled INFORMATION ASSURANCE: National Partnership Offers Benefits, but Faces Considerable Challenges. Mr. Arnone writes:

GAO also criticized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Information Assurance Partnership (NIAP) for not providing metrics or evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Criteria actually improves product security. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Criteria process takes so long to complete that agencies often find that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need are not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of certified offerings or that only older versions have been accredited, GAO’s report states...

Pescatore said GAO’s call for increased education and awareness of NIAP’s function is overblown. Large vendors already know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process well and can afford millions of dollars for tailor-made product evaluations, he said.

Any education efforts should target smaller vendors — with $10 million to $50 million a year in annual revenue — that don’t know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIAP process, don’t know how expensive it is and have trouble affording it, Pescatore said. NIAP must do more than educate, he added. It must provide subsidies or reduce prices so smaller vendors can participate, he said.


It sounds like Common Criteria is becoming nothing but a hurdle to keep smaller companies from providing products to government agencies.

Thursday, September 01, 2005

Feds Hurry, Slow Down

In my post Opportunity Costs of Security Clearances I ranted about needing security clearances for assessment work. Now I read Security clearance delays still a problem by Florence Olsen:

"Security clearance delays are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, if not worse, than a year ago, before lawmakers made changes designed to help clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backlog...

[N]ewly enacted reciprocity rules have made no dent in a problem that is creating mounting costs for high-tech companies. Those rules permit agencies to accept clearances initiated by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies."

Wonderful. Not only do agencies not trust employees, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't trust ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r government agenices. That is understandable, but pacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic; jobs are left vacant because .gov entities want to play petty games. It gets worse:

"ITAA officials said 27 member companies that responded to a survey are coping with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backlog by hiring cleared employees from one anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, sometimes paying premiums of up to 25 percent."

Great. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same cadre of cleared people are being shuffled among agencies. New blood with potentially more enthusiasm, skill, and (gasp) lower salaries (which would appeal to any commercial endeavor) are left to watch this dance from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside.

So how bad are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delays?

"21 companies, said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had encountered delays of 270 or more days in getting top-secret clearances for employees. Last year, when ITAA conducted a similar survey, 70 percent reported equally lengthy delays.

The longest waits occurred in seeking clearances for employees to work at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department."

So, in places were skilled security practitioners are most needed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not available.

Those that are already in place must cram before 2005 FISMA scores arrive. In my NSA-IAM class last week, a State Dept. worker told us he had to work a disaster recovery scenario on Sunday 28 August in order to meet his 31 August deadline.

Companies that cannot properly manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workforces go out of business. Governments just lumber along. There is no mechanism to correct deficiencies, aside from massive intelligence or defense failures like 9/11, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iraq war, and so on. Sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 depressing post, but I don't see a light at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this tunnel!

Thursday, June 30, 2005

Feds Adopt IPv6 by June 2008?

I read OMB: IPv6 by June 2008 today, which says:

"The federal government will transition to IP Version 6 (IPv6) by June 2008, said Karen Evans, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Management and Budget’s administrator of e-government and information technology.

'Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network backbones are ready, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r elements will follow,' she said today while testifying before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Government Reform Committee."

Riiight. Be prepared to see this slip to, oh, maybe never. The Federal government is also supposed to be securing its systems, and its report card is still lousy. Agencies have also known since Homeland Security Presidential Directive 12 (Aug 04) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y needed to implement smart cards, but problems are anticipated in meeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadlines.

Marcus Ranum pointed me towards a talk by Bill Cheswick (.ppt) on IPv6 transition realities. It mentions several problems that might prevent IPv6 adoption, like unreasonable demands on routers, hosts which can pick a new IPv6 address for every connection, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues.